서비스 제어 정책과 함께  프라이빗 액세스 사용 - AWS IAM Identity Center

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

 서비스 제어 정책과 함께  프라이빗 액세스 사용

IAM Identity Center 사용자의 액세스가 비활성화되거나 사용자가 삭제될 때 승인된 API 직접 호출을 할 수 있는 액세스 권한을 즉시 거부하기 위해 다음을 수행할 수 있습니다.

  1. 모든 리소스에 대한 모든 작업에 명시적 Deny 효과를 추가하여 사용자에게 할당된 권한 세트의 인라인 정책추가하거나 업데이트합니다.

  2. aws:userid 또는 identitystore:userid 조건 키를 지정합니다.

또는 서비스 제어 정책을 사용하여 조직의 모든 멤버 계정에서 사용자의 액세스를 거부할 수도 있습니다.

예액세스를 거부하는 예제 SCP

이 거부 정책은 다른 곳에서 부여되었을 수 있는 다른 권한과 관계없이 특정 사용자에 대한 모든 AWS 작업을 차단합니다. 이 정책은 모든 Allow 정책을 재정의합니다.

JSON
{
    "Version":"2012-10-17",
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringLike": {
                    "aws:UserId": "*:deleteduser@domain.com"
                }
            }
        }
    ]
}
JSON
{
    "Version":"2012-10-17",
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringEquals": {
                    "identitystore:UserId": "DELETEDUSER_ID"
                }
            }
        }
    ]
}