Nega l'accesso degli utenti con Service Control Policies - AWS IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Nega l'accesso degli utenti con Service Control Policies

Per negare immediatamente l'accesso per effettuare chiamate API autorizzate quando l'accesso di un utente IAM Identity Center è disabilitato o l'utente viene eliminato, puoi:

  1. Aggiungi o aggiorna la politica in linea dei set di autorizzazioni assegnati all'utente aggiungendo un Deny effetto esplicito per tutte le azioni su tutte le risorse.

  2. Specificare la chiave aws:userid o identitystore:userid condition.

In alternativa, puoi utilizzare una policy di controllo dei servizi per negare l'accesso dell'utente a tutti gli account membri dell'organizzazione.

Esempio Esempio: SCP per negare l'accesso

Questa politica di rifiuto blocca tutte le AWS azioni per un utente specifico, indipendentemente dalle altre autorizzazioni che potrebbero essere state concesse altrove. Questa politica ha la precedenza su qualsiasi politica. Allow

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringLike": {
                    "aws:UserId": "*:deleteduser@domain.com"
                }
            }
        }
    ]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringEquals": {
                    "identitystore:UserId": "DELETEDUSER_ID"
                }
            }
        }
    ]
}