使用服务控制策略控制账户实例创建 - AWS IAM Identity Center
阻止账户实例限制账户实例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务控制策略控制账户实例创建

成员账户创建账户实例的权限取决于您启用 IAM Identity Center 的时间:

无论哪种情况,您都可以使用服务控制策略 (SCPs) 来:

  • 阻止所有成员账户创建账户实例。

  • 仅允许特定成员账户创建账户实例。

阻止账户实例

使用以下过程生成阻止成员账户创建 IAM Identity Center 账户实例的 SCP。

  1. 打开 IAM Identity Center 控制台

  2. 控制面板中央管理部分,选择阻止账户实例按钮。

  3. 附加 SCP 以阻止创建新账户实例对话框中,会为您提供一个 SCP。复制该 SCP,并选择前往 SCP 控制面板按钮。您将被引导到AWS Organizations 控制台创建 SCP 或将其作为语句附加到现有 SCP。 SCPs 是一项功能 AWS Organizations。有关附加 SCP 的说明,请参阅 AWS Organizations 用户指南中的附加和分离服务控制策略

限制账户实例

该策略不会阻止所有账户实例的创建,而是拒绝任何为"<ALLOWED-ACCOUNT-ID>"占位符中明确列出的账户以 AWS 账户 外的所有账户创建 IAM Identity Center 账户实例的尝试。

例:用于限制账户实例创建的拒绝策略
JSON
{

    "Version":"2012-10-17",
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}

  • 将 ["<ALLOWED-ACCOUNT-ID>"] 替换为您想要允许创建 IAM Identity Center 账户实例的实际 AWS 账户 ID。

  • 您可以按数组格式列出多个允许的账户 IDs :["111122223333", "444455556666"]。

  • 将此策略附加到您的组织 SCP,以强制执行对 IAM Identity Center 账户实例创建的集中控制。

    有关附加 SCP 的说明,请参阅 AWS Organizations 用户指南中的附加和分离服务控制策略