本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用服務控制政策來控制帳戶執行個體的建立
成員帳戶建立帳戶執行個體的能力取決於您何時啟用 IAM Identity Center:
+ **2023 年 11 月之前** – 您必須[允許在成員帳戶中建立帳戶執行個體](enable-account-instance-console.md),這是無法反轉的動作。
+ **2023 年 11 月 15 日之後 – 根據預設,**成員帳戶可以建立帳戶執行個體。
在任何一種情況下,您都可以使用服務控制政策 SCPs) 來:
+ 防止所有成員帳戶建立帳戶執行個體。
+ 僅允許特定成員帳戶建立帳戶執行個體。
## 防止帳戶執行個體
使用下列程序產生 SCP,以防止成員帳戶建立 IAM Identity Center 的帳戶執行個體。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在**儀表板**的**中央管理**區段中,選擇**防止帳戶執行個體**按鈕。
1. 在**連接 SCP 以防止建立新帳戶執行個體**對話方塊中,會為您提供 SCP。複製 SCP 並選擇**前往 SCP 儀表板**按鈕。系統會將您導向至 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)來建立 SCP,或將其做為陳述式連接到現有的 SCP。SCPs是 的一項功能 AWS Organizations。如需連接 SCP 的說明,請參閱《 使用者指南》中的[連接和分離服務控制政策](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。 *AWS Organizations *
## 限制帳戶執行個體
除*「」*預留位置中明確列出的帳戶執行個體 AWS 帳戶 外,此政策不會阻止建立所有帳戶執行個體,而是拒絕嘗試為所有帳戶建立 IAM Identity Center 的帳戶執行個體。
**Example :拒絕政策以限制帳戶執行個體建立**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ 將 【*「」*) 取代為您想要允許 建立 IAM Identity Center 帳戶執行個體的實際 AWS 帳戶 ID。
+ 您可以列出陣列格式的多個允許帳戶 IDs:【*"111122223333"、"444455556666"*】。
+ 將此政策連接至您的組織 SCP,以強制執行對 IAM Identity Center 帳戶執行個體建立的集中控制。
如需連接 SCP 的指示,請參閱《 使用者指南》中的[連接和分離服務控制政策](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。 *AWS Organizations *