Erreur : « AccessDeniedException » - AWS Resource Access Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Erreur : « AccessDeniedException »

Scénario

Vous obtenez une exception d'accès refusé lorsque vous essayez de partager une ressource ou d'afficher un partage de ressources.

Cause

Vous pouvez recevoir cette erreur si vous tentez de créer un partage de ressources alors que vous ne disposez pas des autorisations requises. Cela peut être dû à des autorisations insuffisantes dans les politiques associées à votre AWS Identity and Access Management (IAM) principal. Cela peut également se produire en raison de restrictions imposées par une politique de contrôle des AWS Organizations services (SCP) qui vous concerne Compte AWS.

Solution

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Pour résoudre l'erreur, vous devez vous assurer que les autorisations sont accordées par Allow des instructions de la politique d'autorisation utilisée par le principal auteur de la demande. En outre, les autorisations ne doivent pas être bloquées par celles de votre organisationSCPs.

Pour créer un partage de ressources, vous devez disposer des deux autorisations suivantes :

  • ram:CreateResourceShare

  • ram:AssociateResourceShare

Pour consulter un partage de ressources, vous devez disposer des autorisations suivantes :

  • ram:GetResourceShares

Pour associer des autorisations à un partage de ressources, vous devez disposer des autorisations suivantes :

  • resourceOwningService:PutPolicyAction

    Il s'agit d'un espace réservé. Vous devez la remplacer par l'autorisation PutPolicy « » (ou équivalent) pour le service propriétaire de la ressource que vous souhaitez partager. Par exemple, si vous partagez une règle de résolution Route 53, l'autorisation requise serait :route53resolver:PutResolverRulePolicy. Si vous souhaitez autoriser la création d'un partage de ressources contenant plusieurs types de ressources, vous devez inclure l'autorisation appropriée pour chaque type de ressource que vous souhaitez autoriser.

L'exemple suivant montre à quoi peut ressembler une telle politique d'IAMautorisation.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare", "ram:GetResourceShares", "resourceOwningService:PutPolicyAction" ], "Resource": "*" } ] }