サービスコントロールポリシーでのユーザーアクセスの拒否 - AWS IAM アイデンティティセンター

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスコントロールポリシーでのユーザーアクセスの拒否

IAM アイデンティティセンターユーザーのアクセスが無効になっているか、ユーザーが削除された場合に、承認された API コールを行うアクセスをすぐに拒否するには、次の操作を行います。

  1. すべてのリソースに対するすべてのアクションに明示的な Deny 効果を追加して、ユーザーに割り当てられたアクセス許可セット (複数可) のインラインポリシー追加または更新します。

  2. aws:userid または identitystore:userid 条件キーを指定します。

または、サービスコントロールポリシーを使用して、組織内のすべてのメンバーアカウントに対するユーザーのアクセスを拒否することもできます。

例アクセスを拒否する SCP の例

この拒否ポリシーは、他の場所で付与された可能性のある他のアクセス許可に関係なく、特定のユーザーのすべての AWS アクションをブロックします。このポリシーは、すべての Allow ポリシーを上書きします。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringLike": {
                    "aws:UserId": "*:deleteduser@domain.com"
                }
            }
        }
    ]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringEquals": {
                    "identitystore:UserId": "DELETEDUSER_ID"
                }
            }
        }
    ]
}