Verweigern Sie den Benutzerzugriff mit Service Control-Richtlinien - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verweigern Sie den Benutzerzugriff mit Service Control-Richtlinien

Um den Zugriff auf autorisierte API-Aufrufe sofort zu verweigern, wenn der Zugriff eines IAM Identity Center-Benutzers deaktiviert oder der Benutzer gelöscht wurde, können Sie:

  1. Fügen Sie die Inline-Richtlinie für die dem Benutzer zugewiesenen Berechtigungssätze hinzu oder aktualisieren Sie sie, indem Sie einen expliziten Deny Effekt für alle Aktionen auf allen Ressourcen hinzufügen.

  2. Geben Sie den identitystore:userid Bedingungsschlüssel aws:userid oder an.

Alternativ können Sie eine Service Control-Richtlinie verwenden, um dem Benutzer den Zugriff auf alle Mitgliedskonten in Ihrer Organisation zu verweigern.

Beispiel Beispiel für ein SCP, um den Zugriff zu verweigern

Diese Verweigerungsrichtlinie blockiert alle AWS Aktionen für einen bestimmten Benutzer, unabhängig von anderen Berechtigungen, die ihm möglicherweise an anderer Stelle erteilt wurden. Diese Richtlinie hat Vorrang vor allen Allow Richtlinien.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringLike": {
                    "aws:UserId": "*:deleteduser@domain.com"
                }
            }
        }
    ]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringEquals": {
                    "identitystore:UserId": "DELETEDUSER_ID"
                }
            }
        }
    ]
}