Control de la creación de instancias de cuenta con políticas de control de servicio - AWS IAM Identity Center

Control de la creación de instancias de cuenta con políticas de control de servicio

Los usuarios pueden crear una instancia de Centro de identidades de IAM vinculada a una única Cuenta de AWS, denominada instancia de cuenta de Centro de identidades de IAM. Puede controlar la creación de instancias de cuenta con políticas de control de servicio (SCP).

  1. Abra la consola de Centro de identidades de IAM

  2. En el panel de control, en la sección Administración central, seleccione el botón Impedir instancias de cuentas.

  3. En el cuadro de diálogo Asociar una SCP para impedir la creación de nuevas instancias de cuenta, se le ofrecerá una SCP. Cópiela y pulse el botón Ir al panel de control de SCP. Se le dirigirá a la consola de AWS Organizations para crear la SCP o asociarla como una instrucción a una SCP existente.

    Las políticas de control de servicio son una característica de AWS Organizations. Para obtener instrucciones sobre cómo conectar una SCP, consulte Asociar y desasociar políticas de control de servicios en la Guía del usuario de AWS Organizations.

En lugar de impedir la creación de instancias de cuenta, puede limitarla a una Cuenta de AWS específica de la organización:

ejemplo : SCP para controlar la creación de instancias
{ "Version": "2012-10-17", "Statement" : [ { "Sid": "DenyMemberAccountInstances", "Effect": "Deny", "Action": "sso:CreateInstance", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"] } } } ] }