Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôlez la création d'instances de compte à l'aide des politiques de contrôle des services
Si vous avez activé IAM Identity Center après le 15 novembre 2023, les administrateurs de comptes membres peuvent créer une instance d'IAM Identity Center liée à une instance unique Compte AWS, appelée instance de compte d'IAM Identity Center, par défaut. L'instance d'organisation des comptes de gestion d'IAM Identity Center peut utiliser les politiques de contrôle des services (SCPs) pour empêcher tous les comptes membres de créer des instances de compte ou pour identifier les comptes membres spécifiques autorisés à créer des instances de compte.
-
Ouvrez la console IAM Identity Center
. -
Sur le tableau de bord, dans la section Gestion centrale, cliquez sur le bouton Empêcher les instances de compte.
-
Dans la boîte de dialogue Attacher un SCP pour empêcher la création de nouvelles instances de compte, un SCP vous est fourni. Copiez le SCP et cliquez sur le bouton Accéder au tableau de bord du SCP. Vous serez dirigé vers la AWS Organizations console
pour créer le SCP ou le joindre sous forme de déclaration à un SCP existant. Les politiques de contrôle des services sont une fonctionnalité de AWS Organizations. Pour obtenir des instructions sur la connexion d'un SCP, consultez les politiques de contrôle de service relatives à l'attachement et au détachement du guide de l'AWS Organizations utilisateur.
Plutôt que d'empêcher la création d'instances de compte, vous pouvez limiter la création d'instances de compte à une instance spécifique Compte AWS au sein de votre organisation :
Si vous avez activé IAM Identity Center avant novembre 2023, vous pouvez choisir si les comptes membres peuvent créer une instance de compte d'IAM Identity Center, qui est une instance d'IAM Identity Center liée à une instance unique. Compte AWS Sinon, par défaut, les comptes membres de votre organisation ont déjà la possibilité de créer une instance de compte. L'activation des comptes membres pour créer des instances de compte n'est pas réversible, mais vous pouvez utiliser une politique de contrôle des services (SCP) pour empêcher ou limiter la création d'instances de compte.
SCPs sont une fonctionnalité de AWS Organizations. Pour obtenir des instructions sur la connexion d'un SCP, consultez les politiques de contrôle de service relatives à l'attachement et au détachement du guide de l'AWS Organizations utilisateur.
Empêcher les instances de compte
Utilisez la procédure suivante pour générer un SCP qui empêche les comptes membres de créer des instances de compte d'IAM Identity Center.
-
Ouvrez la console IAM Identity Center
. -
Sur le tableau de bord, dans la section Gestion centrale, cliquez sur le bouton Empêcher les instances de compte.
-
Dans la boîte de dialogue Attacher un SCP pour empêcher la création de nouvelles instances de compte, un SCP vous est fourni. Copiez le SCP et cliquez sur le bouton Accéder au tableau de bord du SCP. Vous serez dirigé vers la AWS Organizations console
pour créer le SCP ou le joindre sous forme de déclaration à un SCP existant.
Limiter les instances de compte
Plutôt que d'empêcher la création d'instances de compte, vous pouvez limiter la création d'instances de compte à une instance spécifique Compte AWS au sein de votre organisation :
Exemple : SCP pour contrôler la création d'instances
{ "Version": "2012-10-17", "Statement" : [ { "Sid": "DenyMemberAccountInstances", "Effect": "Deny", "Action": "sso:CreateInstance", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"] } } } ] }
