如何为IAM用户，设置SCP Policy

【以下的回答经过翻译处理】 你好， 请查看以下SCP政策的示例：

一些亮点：

• 您提供的ARN表明您正在尝试创建一个与AWS IAM身份中心共享的常规权限集，并将常规权限集应用于多个帐户，以便多个管理员可以扮演角色进行管理更改。在SCP中，我复制了这样一个AWS Principal ARN列表的引用。请注意 - 您可以向列表中添加多个条目以涵盖多个应用的SSO权限集。
• 还请注意策略中的“*”以涵盖更改的帐户字段以及附加在AWSReservedSSO角色ARN末尾的SSO用户引用。始终最好尽可能明确，但我只是想强调末尾的*以便您根据需要进行相应调整。

希望这可以帮助！

{"Version": "2012-10-17", "Statement": [{"Sid": "DenyAccessWithException", "Effect": "Deny", "Action": [ "iam:CreateUser", "iam:CreateAccessKey" ], "Resource": [ "*" ], "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO_AWSAdministratorAccess_*" ] } } } ] }

• 路易斯