Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Erreur : « AccessDeniedException »
Scénario
Vous obtenez une exception d'accès refusé
lorsque vous essayez de partager une ressource ou d'afficher un partage de ressources.
Cause
Vous pouvez recevoir cette erreur si vous tentez de créer un partage de ressources alors que vous ne disposez pas des autorisations requises. Cela peut être dû à des autorisations insuffisantes dans les politiques associées à votre AWS Identity and Access Management (IAM) principal. Cela peut également se produire en raison de restrictions imposées par une politique de contrôle des AWS Organizations services (SCP) qui vous concerne Compte AWS.
Solution
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés IAM via un fournisseur d'identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la section Créer un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.
-
IAMutilisateurs :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Création d'un rôle pour un IAM utilisateur dans le guide de IAM l'utilisateur.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la section Ajouter des autorisations à un utilisateur (console) dans le guide de IAM l'utilisateur.
-
Pour résoudre l'erreur, vous devez vous assurer que les autorisations sont accordées par Allow
des instructions de la politique d'autorisation utilisée par le principal auteur de la demande. En outre, les autorisations ne doivent pas être bloquées par celles de votre organisationSCPs.
Pour créer un partage de ressources, vous devez disposer des deux autorisations suivantes :
-
ram:CreateResourceShare
-
ram:AssociateResourceShare
Pour consulter un partage de ressources, vous devez disposer des autorisations suivantes :
-
ram:GetResourceShares
Pour associer des autorisations à un partage de ressources, vous devez disposer des autorisations suivantes :
-
resourceOwningService
:PutPolicyAction
Il s'agit d'un espace réservé. Vous devez la remplacer par l'autorisation PutPolicy « » (ou équivalent) pour le service propriétaire de la ressource que vous souhaitez partager. Par exemple, si vous partagez une règle de résolution Route 53, l'autorisation requise serait :
route53resolver:PutResolverRulePolicy
. Si vous souhaitez autoriser la création d'un partage de ressources contenant plusieurs types de ressources, vous devez inclure l'autorisation appropriée pour chaque type de ressource que vous souhaitez autoriser.
L'exemple suivant montre à quoi peut ressembler une telle politique d'IAMautorisation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare", "ram:GetResourceShares", "
" ], "Resource": "*" } ] }
resourceOwningService
:PutPolicyAction