Error: "AccessDeniedException»

Escenario

Obtiene una excepción de acceso denegado al intentar compartir un recurso o ver un recurso compartido.

Causa

Puede obtener este error si intenta crear un recurso compartido cuando sin disponer de los permisos necesarios. Esto puede deberse a la insuficiencia de permisos en las políticas asociadas a su AWS Identity and Access Management (IAM) principal. También puede ocurrir debido a las restricciones impuestas por una política de control de AWS Organizations servicios (SCP) que le afecten Cuenta de AWS.

Solución

Para proporcionar acceso, añada permisos a sus usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
Usuarios gestionados IAM a través de un proveedor de identidad:

Cree un rol para la federación de identidades. Siga las instrucciones de la Guía del IAM usuario sobre cómo crear un rol para un proveedor de identidades externo (federación).
IAMusuarios:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones de la Guía del IAMusuario sobre cómo crear un rol para un IAM usuario.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Añadir permisos a un usuario (consola) de la Guía del IAM usuario.

Para resolver el error, debe asegurarse de que los permisos se concedan mediante instrucciones Allow en la política de permisos utilizada por la entidad principal que realiza la solicitud. Además, la organización no debe bloquear los permisosSCPs.

Para crear un recurso compartido, necesita los dos permisos siguientes:

ram:CreateResourceShare

ram:AssociateResourceShare

Para ver un recurso compartido, necesita el siguiente permiso:

ram:GetResourceShares

Para adjuntar permisos a un recurso compartido, necesita el siguiente permiso:

resourceOwningService:PutPolicyAction

Esto es un marcador de posición. Debe sustituirlo por el permiso PutPolicy «» (o equivalente) del servicio propietario del recurso que desea compartir. Por ejemplo, si desea compartir una regla de solucionador de Route 53, el permiso necesario sería: route53resolver:PutResolverRulePolicy. Si desea permitir la creación de un recurso compartido que contenga varios tipos de recursos, debe incluir el permiso correspondiente para cada tipo de recurso que desea permitir.

En el siguiente ejemplo, se muestra el aspecto que podría tener una política de IAM permisos de este tipo.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:CreateResourceShare", 
                "ram:AssociateResourceShare",
                "ram:GetResourceShares",
                "resourceOwningService:PutPolicyAction"
            ],
            "Resource": "*"
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Error: El ID de la cuenta no existe

Error: Excepción de recurso desconocido