サービスコントロールポリシーを使用してアカウントインスタンスの作成を制御する

ユーザーは、単一の AWS アカウントにバインドされた IAM Identity Center のインスタンスを作成できます。これは、IAM Identity Center のアカウントインスタンスと呼ばれています。サービスコントロールポリシーを使用してアカウントインスタンスの作成を制御できます。

IAM Identity Center コンソールを開きます。
[ダッシュボード] の [中央管理] セクションで、[アカウントインスタンスの抑制] ボタンを選択します。
[SCP をアタッチして新しいアカウントインスタンスが作成されないようにする] ダイアログボックスに SCP が表示されます。SCP をコピーし、[SCP ダッシュボードに移動] ボタンを選択します。AWS Organizations コンソールに移動し、SCP を作成するか、既存の SCP にステートメントとしてアタッチします。

サービスコントロールポリシーは、AWS Organizations の機能です。SCP をアタッチする手順については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシーのアタッチとデタッチ」を参照してください。

アカウントインスタンスの作成を防ぐのではなく、アカウントインスタンスの作成を組織内の特定の AWS アカウントに限定することができます。

例 : SCP によるインスタンス作成の制御


{
    "Version": "2012-10-17",
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

アカウントインスタンスの作成を有効にする

アカウントインスタンスを作成する