기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 서비스 제어 정책으로 계정 인스턴스 생성 제어
멤버 계정으로 계정 인스턴스를 생성하는 기능은 IAM Identity Center를 활성화한 시기에 따라 달라집니다.
+ **2023년 11월 이전** - [멤버 계정에서 계정 인스턴스 생성을 허용](enable-account-instance-console.md)해야 하며, 이 작업은 되돌릴 수 없습니다.
+ **2023년 11월 15일 이후** - 멤버 계정은 기본적으로 계정 인스턴스를 생성할 수 있습니다.
어느 경우든 서비스 제어 정책(SCP)을 사용하여 다음을 수행할 수 있습니다.
+ 모든 멤버 계정이 계정 인스턴스를 생성하지 못하도록 방지합니다.
+ 특정 멤버 계정만 계정 인스턴스를 생성하도록 허용합니다.
## 계정 인스턴스 방지
다음 절차에 따라 멤버 계정이 IAM Identity Center의 계정 인스턴스를 생성하지 못하도록 방지하는 SCP를 생성합니다.
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. **대시보드**의 **중앙 관리** 섹션에서 **계정 인스턴스 방지** 버튼을 선택합니다.
1. **새 계정 인스턴스가 생성되지 않도록 SCP 연결** 대화 상자에 SCP가 제공됩니다. SCP를 복사하고 **SCP 대시보드로 이동** 버튼을 선택합니다. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)로 이동하여 SCP를 생성하거나 이를 기존 SCP에 명령문으로 연결할 수 있게 됩니다. SCPs의 기능입니다 AWS Organizations. SCP 연결에 대한 지침은 **AWS Organizations 사용 설명서의 [서비스 제어 정책 연결 및 분리](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)를 참조하세요.
## 계정 인스턴스 제한
이 정책은 모든 계정 인스턴스 생성을 방지하는 대신 *""* 자리 표시자에 명시적으로 나열된 것을 AWS 계정 제외한 모든에 대해 IAM Identity Center의 계정 인스턴스를 생성하려는 시도를 거부합니다.
**Example : 계정 인스턴스 생성을 제한하는 정책 거부**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ [*‘’*]를 IAM Identity Center의 계정 인스턴스를 생성하도록 허용할 실제 AWS 계정 ID로 바꿉니다.
+ 허용되는 계정 ID는 [*‘111122223333’, ‘444455556666’*] 배열 형식으로 여러 개 나열할 수 있습니다.
+ 이 정책을 조직 SCP에 연결하여 IAM Identity Center 계정 인스턴스 생성에 대한 중앙 집중식 제어를 적용합니다.
SCP 연결에 대한 지침은 **AWS Organizations 사용 설명서의 [서비스 제어 정책 연결 및 분리](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)를 참조하세요.