使用服務控制政策拒絕使用者存取 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用服務控制政策拒絕使用者存取

若要在停用 IAM Identity Center 使用者的存取權或刪除使用者時,立即拒絕存取以進行授權的 API 呼叫,您可以:

  1. 新增或更新指派給使用者的許可集的內嵌政策 (透過在所有資源上新增所有動作的明確Deny效果)。

  2. 指定 aws:userididentitystore:userid條件索引鍵。

或者,您可以使用服務控制政策來拒絕使用者在您組織中所有成員帳戶的存取權。

範例拒絕存取的 SCP 範例

此拒絕政策會封鎖特定使用者的所有 AWS 動作,無論他們可能在別處獲得其他許可。此政策會覆寫任何Allow政策。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringLike": {
                    "aws:UserId": "*:deleteduser@domain.com"
                }
            }
        }
    ]
}
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringEquals": {
                    "identitystore:UserId": "DELETEDUSER_ID"
                }
            }
        }
    ]
}