Refuser l'accès aux utilisateurs avec des politiques de contrôle des services - AWS IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Refuser l'accès aux utilisateurs avec des politiques de contrôle des services

Pour refuser immédiatement l'accès aux appels d'API autorisés lorsque l'accès d'un utilisateur d'IAM Identity Center est désactivé ou que l'utilisateur est supprimé, vous pouvez :

  1. Ajoutez ou mettez à jour la politique en ligne du ou des ensembles d'autorisations attribués à l'utilisateur en ajoutant un Deny effet explicite pour toutes les actions sur toutes les ressources.

  2. Spécifiez la clé de identitystore:userid condition aws:userid ou.

Vous pouvez également utiliser une politique de contrôle des services pour refuser l'accès de l'utilisateur à tous les comptes membres de votre organisation.

Exemple Exemple de SCP pour refuser l'accès

Cette politique de refus bloque toutes les AWS actions pour un utilisateur spécifique, quelles que soient les autres autorisations qui lui ont été accordées par ailleurs. Cette politique prévaut sur toutes Allow les politiques.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringLike": {
                    "aws:UserId": "*:deleteduser@domain.com"
                }
            }
        }
    ]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringEquals": {
                    "identitystore:UserId": "DELETEDUSER_ID"
                }
            }
        }
    ]
}