本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

使用 “拒绝” 策略撤消活跃用户权限

在 Ident IAM ity Center 用户正在使用权限集 AWS 账户 期间，您可能需要撤消该用户的访问权限。您可以通过事先为未指定用户实施拒绝策略来取消他们使用其活动IAM角色会话的权限，然后在需要时可以更新 “拒绝” 策略以指定要阻止其访问权限的用户。本主题说明如何创建 “拒绝” 策略以及部署策略的注意事项。

准备撤消由权限集创建的活动IAM角色会话

您可以通过使用服务控制策略对特定用户应用 “全部拒绝” 策略来阻止用户对他们正在使用的IAM角色采取操作。您还可以阻止用户使用任何权限集，直到您更改密码为止，这会删除主动滥用被盗凭据的不良行为者。如果您需要广泛拒绝访问并阻止用户重新进入权限集或访问其他权限集，则还可以删除所有用户访问权限，停止有效的 AWS 访问门户会话，并禁用用户登录。请参阅撤消由权限集创建的主动IAM角色会话，了解如何将 “拒绝” 策略与其他操作结合使用，以实现更广泛的访问权限撤销。

拒绝策略

您可以使用 “拒绝” 策略，其条件与 Identity Center IAM 身份存储UserID中用户的条件相匹配，以防止用户正在使用的IAM角色采取进一步的操作。使用此策略可以避免对部署拒绝策略时可能使用相同权限集的其他用户造成影响。此策略使用占位符用户 ID，在此处添加用户 ID，为"identitystore:userId"此，您将使用要撤消其访问权限的用户 ID 进行更新。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "identitystore:userId": "Add user ID here"  
                }
            }
        }
    ]
}

尽管你可以使用另一个条件键（例如，）“aws:userId”，“identitystore:userId”但可以肯定，因为它是与一个人关联的全球唯一值。在条件“aws:userId”中使用可能会受到从您的身份来源同步用户属性的方式的影响，并且如果用户的用户名或电子邮件地址发生变化，则可能会发生变化。

在 IAM Identity Center 控制台中，您可以identitystore:userId通过导航到 “用户”、按用户名搜索用户、展开 “常规信息” 部分并复制用户 ID 来查找用户。在搜索用户 ID 时，停止用户的 AWS 访问门户会话并禁用他们在同一部分的登录访问权限也很方便。您可以通过查询身份存储来获取用户的用户 ID，从而自动创建拒绝策略APIs。

部署拒绝策略

您可以使用无效的占位符用户 ID（例如）Add user ID here，使用附加到 AWS 账户 用户可能有权访问的服务控制策略 (SCP) 提前部署拒绝策略。推荐使用这种方法，因为它易于冲击，而且冲击速度快。当您使用 “拒绝” 策略撤消用户的访问权限时，您需要编辑该策略，将占位符用户 ID 替换为您要撤消其访问权限的用户的用户 ID。这可以防止用户使用您附加的每个账户中设置的任何权限执行任何操作SCP。即使用户使用活动 AWS 访问门户会话导航到不同的帐户并扮演不同的角色，它也会阻止他们的操作。在完全屏蔽了用户的访问权限后SCP，您可以根据需要禁用他们的登录、撤消分配和停止 AWS 访问门户会话的功能。

除了使用之外SCPs，您还可以将 “拒绝” 策略包含在权限集的内联策略和用户可以访问的权限集使用的客户托管策略中。

如果您必须撤消多人的访问权限，则可以在条件块中使用值列表，例如：

            "Condition": {
                    "StringEquals": {
                        "identitystore:userId": [" user1 userId", "user2 userId"...]
                        }
        }