サービスコントロールポリシーを使用してアカウントインスタンスの作成を制御する

ユーザーは、IAM Identity Center のアカウントインスタンスと呼ばれる AWS アカウント単一のにバインドされた IAM Identity Center のインスタンスを作成できます。サービスコントロールポリシーを使用してアカウントインスタンスの作成を制御できます。

IAM Identity Center コンソールを開きます。
[ダッシュボード] の [中央管理] セクションで、[アカウントインスタンスの抑制] ボタンを選択します。
[SCP をアタッチして新しいアカウントインスタンスが作成されないようにする] ダイアログボックスに SCP が表示されます。SCP をコピーし、[SCP ダッシュボードに移動] ボタンを選択します。AWS Organizations コンソールに移動し、SCP を作成するか、既存の SCP にステートメントとしてアタッチします。

サービスコントロールポリシーはの機能です AWS Organizations。SCP をアタッチする手順については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシーのアタッチとデタッチ」を参照してください。

アカウントインスタンスの作成を防ぐのではなく、アカウントインスタンスの作成を組織 AWS アカウント内の特定のに制限できます。

例 : SCP によるインスタンス作成の制御


{
    "Version": "2012-10-17",
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

アカウントインスタンスを有効にする

アカウントインスタンスを作成する