AWS命名规则：

• Condition: 表示SCP规则的必要条件
• ForAllValues:StringLike: 表示该条件适用于所有指定的值
• sts:RequestedAction: 表示请求中所列出的所有操作

下面是一个禁止IAM用户创建的SCP示例：

{ "Version": "2012-10-17", "Statement": { "Sid": "DenyCreateIAMUser", "Effect": "Deny", "Action": [ "iam:CreateUser" ], "Resource": [ "" ], "Condition": { "ForAllValues:StringLike": { "aws:PrincipalArn": [ "arn:aws:iam:::user/", "arn:aws:iam:::group/", "arn:aws:iam:::role/*" ] }, "Not": { "sts:RequestedAction": [ "iam:CreateUser" ] } } } }

当IAM用户以API调用方式尝试创建一个新用户时，将会出现以下错误信息：

“User: arn:aws:iam::123456789012:user/username is not authorized to perform: iam:CreateUser on resource: *”

其中，数字“123456789012”是账户ID，而“username”则是试图创建的用户名。