本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用服务控制策略控制账户实例创建
成员账户创建账户实例的权限取决于您启用 IAM Identity Center 的时间:
+ **2023 年 11 月之前** – 您必须[允许在成员账户中创建账户实例](enable-account-instance-console.md),这是一个无法撤销的操作。
+ **2023 年 11 月 15 日之后** - 默认情况下,成员账户可以创建账户实例。
无论哪种情况,您都可以使用服务控制策略 (SCPs) 来:
+ 阻止所有成员账户创建账户实例。
+ 仅允许特定成员账户创建账户实例。
## 阻止账户实例
使用以下过程生成阻止成员账户创建 IAM Identity Center 账户实例的 SCP。
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 在**控制面板**的**中央管理**部分,选择**阻止账户实例**按钮。
1. 在**附加 SCP 以阻止创建新账户实例**对话框中,会为您提供一个 SCP。复制该 SCP,并选择**前往 SCP 控制面板**按钮。您将被引导到[AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)创建 SCP 或将其作为语句附加到现有 SCP。 SCPs 是一项功能 AWS Organizations。有关附加 SCP 的说明,请参阅 *AWS Organizations 用户指南*中的[附加和分离服务控制策略](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。
## 限制账户实例
该策略不会阻止所有账户实例的创建,而是拒绝任何为*""*占位符中明确列出的账户以 AWS 账户 外的所有账户创建 IAM Identity Center 账户实例的尝试。
**Example :用于限制账户实例创建的拒绝策略**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ 将 [*""*] 替换为您想要允许创建 IAM Identity Center 账户实例的实际 AWS 账户 ID。
+ 您可以按数组格式列出多个允许的账户 IDs :[*"111122223333", "444455556666"*]。
+ 将此策略附加到您的组织 SCP,以强制执行对 IAM Identity Center 账户实例创建的集中控制。
有关附加 SCP 的说明,请参阅 *AWS Organizations 用户指南*中的[附加和分离服务控制策略](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。