Uso de las políticas de control de servicios para controlar la creación de instancias de cuentas - AWS IAM Identity Center
Cómo impedir las instancias de cuentaLímite a las instancias de cuenta

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de las políticas de control de servicios para controlar la creación de instancias de cuentas

La capacidad de las cuentas de los miembros para crear instancias de cuentas depende de cuándo haya activado IAM Identity Center:

En cualquier caso, puedes usar las políticas de control de servicios (SCPs) para:

  • Impedir que todas las cuentas de los miembros creen instancias de cuentas.

  • Permitir que solo cuentas de miembros específicas creen instancias de cuentas.

Cómo impedir las instancias de cuenta

Utilice el procedimiento siguiente para generar una SCP que impida a las cuentas de los miembros crear instancias de cuenta de IAM Identity Center.

  1. Abra la consola de IAM Identity Center.

  2. En el panel de control, en la sección Administración central, seleccione el botón Impedir instancias de cuentas.

  3. En el cuadro de diálogo Asociar una SCP para impedir la creación de nuevas instancias de cuenta, se le ofrecerá una SCP. Cópiela y pulse el botón Ir al panel de control de SCP. Se le indicará que vaya a la AWS Organizations consola para crear el SCP o adjuntarlo como una declaración a un SCP existente. SCPs son una característica de. AWS Organizations Para obtener instrucciones sobre cómo conectar una SCP, consulte Asociar y desasociar políticas de control de servicios en la Guía del usuario de AWS Organizations .

Límite a las instancias de cuenta

En lugar de impedir la creación de todas las instancias de cuentas, esta política deniega cualquier intento de crear una instancia de cuenta de IAM Identity Center a todas, Cuentas de AWS excepto a las que se indican explícitamente en el "<ALLOWED-ACCOUNT-ID>" marcador de posición.

ejemplo : política de denegación que limita la creación de instancias de cuentas
JSON
{

    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}

  • Sustituya ["<ALLOWED-ACCOUNT-ID>"] por los Cuenta de AWS ID reales que desee permitir para crear una instancia de cuenta del IAM Identity Center.

  • Puede enumerar varias cuentas permitidas IDs en el formato de matriz: ["111122223333", "444455556666"].

  • Adjunte esta política a la SCP de su organización para aplicar un control centralizado sobre la creación de instancias de cuentas de IAM Identity Center.

    Para obtener instrucciones sobre cómo conectar una SCP, consulte Asociar y desasociar políticas de control de servicios en la Guía del usuario de AWS Organizations .