使用 服務控制政策來控制帳戶執行個體的建立 - AWS IAM Identity Center
防止帳戶執行個體限制帳戶執行個體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 服務控制政策來控制帳戶執行個體的建立

如果您在 2023 年 11 月之前啟用 IAM Identity Center,您可以選擇成員帳戶是否可以建立 IAM Identity Center 的帳戶執行個體,IAM Identity Center 是繫結至單一的 IAM Identity Center 執行個體 AWS 帳戶。否則,根據預設,組織中的成員帳戶已經可以選擇建立帳戶執行個體。啟用成員帳戶來建立帳戶執行個體是不可逆的,但您可以使用服務控制政策 (SCP) 來防止或限制帳戶執行個體的建立。

SCPs是 的一項功能 AWS Organizations。如需連接 SCP 的指示,請參閱《 使用者指南》中的連接和分離服務控制政策AWS Organizations

防止帳戶執行個體

使用下列程序產生 SCP,以防止成員帳戶建立 IAM Identity Center 的帳戶執行個體。

  1. 開啟 IAM Identity Center 主控台

  2. 儀表板中央管理區段中,選擇防止帳戶執行個體按鈕。

  3. 連接 SCP 以防止建立新帳戶執行個體對話方塊中,會為您提供 SCP。複製 SCP 並選擇前往 SCP 儀表板按鈕。系統會將您導向至 AWS Organizations 主控台來建立 SCP,或將其做為陳述式連接至現有的 SCP。

限制帳戶執行個體

您可以將帳戶執行個體建立限制為 AWS 帳戶 組織內的特定 ,而不是阻止建立帳戶執行個體:

範例 :控制執行個體建立的 SCP
{
    "Version": "2012-10-17",
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}

如需 IAM 和政策識別符的詳細資訊,請參閱以下內容: