翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サービスコントロールポリシーでのユーザーアクセスの拒否
<a name="authconcept-revoke-access"></a>

IAM アイデンティティセンターユーザーのアクセスが無効になっているか、ユーザーが削除された場合に、承認された API コールを行うアクセスをすぐに拒否するには、次の操作を行います。

1. すべてのリソースに対するすべてのアクションに明示的な `Deny` 効果を追加して、ユーザーに割り当てられたアクセス許可セット (複数可) の[インラインポリシー](permissionsetcustom.md#permissionsetsinlineconcept)を[追加または更新](howtoviewandchangepermissionset.md)します。

1. `aws:userid` または `identitystore:userid` 条件キーを指定します。

または、[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)を使用して、組織内のすべてのメンバーアカウントに対するユーザーのアクセスを拒否することもできます。

**Example アクセスを拒否する SCP の例**  
この拒否ポリシーは、他の場所で付与された可能性のある他のアクセス許可に関係なく、特定のユーザーのすべての AWS アクションをブロックします。このポリシーは、すべての `Allow` ポリシーを上書きします。    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringLike": {
                    "aws:UserId": "*:deleteduser@domain.com"
                }
            }
        }
    ]
}
```  
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringEquals": {
                    "identitystore:UserId": "DELETEDUSER_ID"
                }
            }
        }
    ]
}
```