Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Verweigern Sie den Benutzerzugriff mit Service Control-Richtlinien Um den Zugriff auf autorisierte API-Aufrufe sofort zu verweigern, wenn der Zugriff eines IAM Identity Center-Benutzers deaktiviert oder der Benutzer gelöscht wurde, können Sie: 1. [Fügen Sie die [Inline-Richtlinie für](permissionsetcustom.md#permissionsetsinlineconcept) die dem Benutzer zugewiesenen Berechtigungssätze hinzu oder aktualisieren](howtoviewandchangepermissionset.md) Sie sie, indem Sie einen expliziten `Deny` Effekt für alle Aktionen auf allen Ressourcen hinzufügen. 1. Geben Sie den `identitystore:userid` Bedingungsschlüssel `aws:userid` oder an. Alternativ können Sie eine [Service Control-Richtlinie](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) verwenden, um dem Benutzer den Zugriff auf alle Mitgliedskonten in Ihrer Organisation zu verweigern. **Example Beispiel für ein SCP, um den Zugriff zu verweigern** Diese Verweigerungsrichtlinie blockiert alle AWS Aktionen für einen bestimmten Benutzer, unabhängig von anderen Berechtigungen, die ihm möglicherweise an anderer Stelle erteilt wurden. Diese Richtlinie hat Vorrang vor allen `Allow` Richtlinien. **** ``` { "Version":"2012-10-17", "Statement" : [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:UserId": "*:deleteduser@domain.com" } } } ] } ``` **** ``` { "Version":"2012-10-17", "Statement" : [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "identitystore:UserId": "DELETEDUSER_ID" } } } ] } ```