Negar acesso do usuário com Políticas de controle de serviço - AWS IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Negar acesso do usuário com Políticas de controle de serviço

Para negar imediatamente o acesso para fazer chamadas de API autorizadas quando o acesso de um usuário do IAM Identity Center for desabilitado ou o usuário for excluído, você pode:

  1. Adicionar ou atualizar a política embutida dos conjuntos de permissões atribuídos ao usuário adicionando um efeito Deny explícito para todas as ações em todos os recursos.

  2. Especifique a chave de condição aws:userid ou identitystore:userid

Como alternativa, você pode usar uma Política de controle de serviço para negar o acesso do usuário a todas as contas membros da organização.

exemplo Exemplo de SCP para negar acesso

Essa política de negação bloqueia todas AWS as ações de um usuário específico, independentemente de outras permissões que ele possa ter recebido em outro lugar. Essa política substitui todas as políticas Allow.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringLike": {
                    "aws:UserId": "*:deleteduser@domain.com"
                }
            }
        }
    ]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringEquals": {
                    "identitystore:UserId": "DELETEDUSER_ID"
                }
            }
        }
    ]
}