Control de la creación de instancias de cuenta con políticas de control de servicio
Los usuarios pueden crear una instancia de Centro de identidades de IAM vinculada a una única Cuenta de AWS, denominada instancia de cuenta de Centro de identidades de IAM. Puede controlar la creación de instancias de cuenta con políticas de control de servicio (SCP).
-
En el panel de control, en la sección Administración central, seleccione el botón Impedir instancias de cuentas.
-
En el cuadro de diálogo Asociar una SCP para impedir la creación de nuevas instancias de cuenta, se le ofrecerá una SCP. Cópiela y pulse el botón Ir al panel de control de SCP. Se le dirigirá a la consola de AWS Organizations
para crear la SCP o asociarla como una instrucción a una SCP existente. Las políticas de control de servicio son una característica de AWS Organizations. Para obtener instrucciones sobre cómo conectar una SCP, consulte Asociar y desasociar políticas de control de servicios en la Guía del usuario de AWS Organizations.
En lugar de impedir la creación de instancias de cuenta, puede limitarla a una Cuenta de AWS específica de la organización:
ejemplo : SCP para controlar la creación de instancias
{ "Version": "2012-10-17", "Statement" : [ { "Sid": "DenyMemberAccountInstances", "Effect": "Deny", "Action": "sso:CreateInstance", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": [
"<ALLOWED-ACCOUNT-ID>"
] } } } ] }