本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用拒絕政策撤銷作用中的使用者許可
當使用者正在使用許可集 AWS 帳戶 時,您可能需要撤銷 IAM Identity Center 使用者對 的存取權。您可以事先為未指定的使用者實作拒絕政策,以移除他們使用其作用中 IAM 角色工作階段的能力,然後視需要更新拒絕政策,以指定您要封鎖其存取權的使用者。本主題說明如何建立拒絕政策,以及如何部署政策的考量事項。
## 準備撤銷由許可集建立的作用中 IAM 角色工作階段
您可以藉由使用服務控制政策,為特定使用者套用拒絕所有政策,防止使用者對其正在使用的 IAM 角色採取動作。您也可以防止使用者使用任何許可集,直到您變更其密碼為止,這會移除惡意演員主動濫用遭竊的登入資料。如果您需要廣泛拒絕存取,並防止使用者重新輸入許可集或存取其他許可集,您也可以移除所有使用者存取、停止作用中的 AWS 存取入口網站工作階段,以及停用使用者登入。請參閱 以[檢視和結束人力使用者的作用中工作階段](end-active-sessions.md)了解如何使用拒絕政策搭配其他動作,進行更廣泛的存取撤銷。
### 拒絕政策
您可以使用拒絕政策搭配符合 IAM Identity Center `UserID` 身分存放區中使用者 的條件,以防止使用者正在使用的 IAM 角色採取進一步動作。當您部署拒絕政策時,使用此政策可避免對可能使用相同許可集的其他使用者造成影響。此政策使用預留位置使用者 ID ,針對 `"identitystore:userId"` *`Add user ID here`*,您會使用要撤銷存取權的使用者 ID 進行更新。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"identitystore:userId": "Add user ID here"
}
}
}
]
}
```
------
雖然您可以使用其他條件索引鍵,例如 `“aws:userId”`,但 `“identitystore:userId”` 是確定的,因為它是與一個人相關聯的全域唯一值。在 條件`“aws:userId”`中使用 可能會受到使用者屬性從您的身分來源同步方式的影響,如果使用者的使用者名稱或電子郵件地址變更, 可能會變更。
從 IAM Identity Center 主控台,您可以透過導覽至**使用者**、依名稱搜尋使用者、展開**一般資訊**區段,以及複製使用者 ID `identitystore:userId`來尋找使用者的 。搜尋使用者 ID 時,也可輕鬆停止使用者的 AWS 存取入口網站工作階段,並在相同區段中停用其登入存取。您可以透過查詢身分存放區 APIs 來取得使用者的使用者 ID,以自動化建立拒絕政策的程序。
### 部署拒絕政策
您可以使用無效預留位置使用者 ID,例如 `Add user ID here`,預先使用您連接至 AWS 帳戶 使用者可能有權存取的服務控制政策 (SCP) 部署拒絕政策。這是建議的方法,其影響的簡單性和速度。當您使用拒絕政策撤銷使用者的存取權時,您將編輯政策,將預留位置使用者 ID 取代為您要撤銷其存取權之人員的使用者 ID。這可防止使用者對您連接 SCP 的每個帳戶中設定的任何許可採取任何動作。即使使用者使用其作用中的 AWS 存取入口網站工作階段導覽至不同的帳戶並擔任不同的角色,也會封鎖使用者的動作。使用者存取被 SCP 完全封鎖後,您就可以停用其登入、撤銷其指派的能力,並視需要停止其 AWS 存取入口網站工作階段。
除了使用 SCPs 之外,您也可以在許可集的內嵌政策中包含拒絕政策,以及在使用者可存取的許可集所使用的客戶受管政策中包含拒絕政策。
如果您必須撤銷多個人的存取權,您可以使用條件區塊中的值清單,例如:
```
"Condition": {
"StringEquals": {
"identitystore:userId": [" user1 userId", "user2 userId"...]
}
}
```
**重要**
無論您使用何種方法,您都必須採取任何其他修正動作,並將使用者的使用者 ID 保留在政策中至少 12 小時。之後,使用者擔任的任何角色都會過期,然後您可以從拒絕政策中移除其使用者 ID。