使用服务控制策略拒绝用户访问 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务控制策略拒绝用户访问

要在 IAM Identity Center 用户的访问被禁用或用户被删除时立即拒绝其进行授权的 API 调用,您可以:

  1. 通过为所有资源的所有操作添加显式的 Deny 效果,来添加或更新分配给用户的权限集的内联策略

  2. 指定 aws:userididentitystore:userid 条件键。

或者,您可以使用服务控制策略来拒绝该用户访问您组织中的所有成员账户。

例拒绝访问的 SCP 示例

此拒绝策略会阻止特定用户的所有 AWS 操作,无论他们可能在其他地方获得的其他权限如何。此策略会覆盖任何 Allow 策略。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringLike": {
                    "aws:UserId": "*:deleteduser@domain.com"
                }
            }
        }
    ]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringEquals": {
                    "identitystore:UserId": "DELETEDUSER_ID"
                }
            }
        }
    ]
}