本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用服务控制策略拒绝用户访问
拒绝用户访问

要在 IAM Identity Center 用户的访问被禁用或用户被删除时立即拒绝其进行授权的 API 调用，您可以：

1. 通过为所有资源的所有操作添加显式的 `Deny` 效果，来[添加或更新](howtoviewandchangepermissionset.md)分配给用户的权限集的[内联策略](permissionsetcustom.md#permissionsetsinlineconcept)。

1. 指定 `aws:userid` 或 `identitystore:userid` 条件键。

或者，您可以使用[服务控制策略](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html)来拒绝该用户访问您组织中的所有成员账户。

**Example 拒绝访问的 SCP 示例**  
此拒绝策略会阻止特定用户的所有 Amazon 操作，无论他们可能在其他地方获得的其他权限如何。此策略会覆盖任何 `Allow` 策略。    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringLike": {
                    "aws:UserId": "*:deleteduser@domain.com"
                }
            }
        }
    ]
}
```  
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                 "StringEquals": {
                    "identitystore:UserId": "DELETEDUSER_ID"
                }
            }
        }
    ]
}
```