使用“拒绝策略”撤销活跃用户权限

当IAM身份中心用户通过权限集对应的委托权限访问华为云时，IAM身份中心管理员可以通过禁用用户的方式撤销其访问权限。但是对于已获取到临时安全凭证的用户，需要等到临时安全凭证过期才能真正限制其访问华为云。对于这种情况，可通过“IdentityCenter:UserId”条件键配置“拒绝策略”，直接取消用户对活跃IAM委托会话的使用权限。后续如果需要调整管控范围，可直接更新该 “拒绝策略”，指定需要阻止访问权限的具体用户，实现精准权限管控。

• 拒绝策略
  您可以使用“拒绝策略”，其条件键“IdentityCenter:UserId”与IAM身份中心中的用户UserID匹配，以此阻止用户使用活跃的IAM委托会话执行进一步的操作。使用此策略可以避免对部署“拒绝策略”时可能使用相同权限集的其他用户造成影响。此策略将占位符用户ID替换为您将要撤销访问权限的用户ID。示例如下：

  {
    "Version": "5.0",
    "Statement": [
      {
        "Effect": "Deny",
        "Action": [
          "*:*:*"
        ],
        "Condition": {
          "StringEquals": {
            "IdentityCenter:UserId": "Add user ID here"
          }
        }
      }
    ]
  }

  

  在IAM身份中心控制台“用户管理”页面，单击对应用户名进入基本信息，获取用户ID，通过用户ID查找用户的“IdentityCenter:UserId”。

• 设置“拒绝策略”

  推荐您使用无效的占位符用户ID（例如：Add user ID here），通过服务控制策略 (SCP) 提前设置拒绝策略，此方法操作简单，且生效快。使用“拒绝策略”撤销用户的访问权限时，您需要编辑该策略，将占位符用户ID替换为要撤销访问权限的用户ID。这可以防止用户使用您附加在SCP的各个账户中设置的任何权限集执行任何操作。当SCP完全屏蔽了用户的访问权限后，您可以根据具体需要禁用用户的登录、撤消分配和停止IAM身份中心访问门户会话的功能。

  除了使用SCP之外，您还可以将 “拒绝策略” 包含在权限集的自定义身份策略中。

  如果要撤销多人的访问权限，则可在条件块中使用值列表，例如：

  "Condition": {
  	"StringEquals": {
  		"IdentityCenter:UserId": [" user1 userId", "user2 userId"...]
  	}
  }

  

  无论采用服务控制策略 (SCP) 还是自定义身份策略，建议在身份策略中保留用户ID至少12个小时。12个小时后，用户代入的任何委托会话都将过期，然后您可以将其用户ID 从“拒绝策略”中移除。