Denegación de acceso a los usuarios con las políticas de control de servicios - AWS IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Denegación de acceso a los usuarios con las políticas de control de servicios

Para denegar inmediatamente el acceso y realizar llamadas a la API autorizadas cuando se deshabilita el acceso de un usuario de IAM Identity Center o se elimina al usuario, puede hacer lo siguiente:

  1. Añadir o actualizar la política insertada de los conjuntos de permisos asignados al usuario añadiendo un efecto explícito Deny para todas las acciones que se realicen en todos los recursos.

  2. Especifique la clave de condición aws:userid o identitystore:userid.

Como alternativa, puede utilizar una Política de control de servicios para denegarle el acceso del usuario a todas las cuentas de miembros de la organización.

ejemplo SCP de ejemplo para denegar el acceso

Esta política de denegación bloquea todas AWS las acciones de un usuario específico, independientemente de los demás permisos que se le hayan concedido en otros lugares. Esta política anula cualquier política de Allow.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringLike": {
                    "aws:UserId": "*:deleteduser@domain.com"
                }
            }
        }
    ]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringEquals": {
                    "identitystore:UserId": "DELETEDUSER_ID"
                }
            }
        }
    ]
}