Tolak akses pengguna dengan Kebijakan Kontrol Layanan - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tolak akses pengguna dengan Kebijakan Kontrol Layanan

Untuk segera menolak akses untuk melakukan panggilan API resmi ketika akses pengguna IAM Identity Center dinonaktifkan atau pengguna dihapus, Anda dapat:

  1. Tambahkan atau perbarui kebijakan sebaris dari kumpulan izin yang ditetapkan ke pengguna dengan menambahkan Deny efek eksplisit untuk semua tindakan pada semua sumber daya.

  2. Tentukan kunci aws:userid atau identitystore:userid kondisi.

Atau, Anda dapat menggunakan Kebijakan Kontrol Layanan untuk menolak akses pengguna di semua akun anggota di organisasi Anda.

contoh Contoh SCP untuk menolak akses

Kebijakan penolakan ini memblokir semua AWS tindakan untuk pengguna tertentu, terlepas dari izin lain yang mungkin diberikan di tempat lain. Kebijakan ini mengesampingkan kebijakan apa punAllow.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringLike": {
                    "aws:UserId": "*:deleteduser@domain.com"
                }
            }
        }
    ]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringEquals": {
                    "identitystore:UserId": "DELETEDUSER_ID"
                }
            }
        }
    ]
}