アクセス拒否エラーメッセージのトラブルシューティング - AWS Identity and Access Management

アクセス拒否エラーメッセージのトラブルシューティング

アクセス拒否エラーは、AWS が認証リクエストを明示的または暗黙的に拒否した場合に表示されます。明示的な拒否は、特定の AWS アクションに対する Deny ステートメントがポリシーに含まれている場合に発生します。該当する Deny ステートメントがなく、該当する Allow ステートメントもない場合に、暗黙的な拒否が発生します。IAM プリンシパルは、デフォルトでアクセスが拒否されされるため、アクションを実行するには明示的に許可を受ける必要があります。そうでない場合は、アクセスは暗黙的に拒否されます。詳細については、「明示的な拒否と暗黙的な拒否の違い」を参照してください。

ほとんどのアクセス拒否のエラーメッセージは、次の形式です。User user is not authorized to perform action on resource because contextこの例では、userはアクセスを拒否された ARN で、action がアクセスを拒否されたサービス、そして resource はアクションが実行されるリソースの ARN です。[context] フィールドには、ポリシータイプについての追加のコンテキストが表示され、アクセスが拒否された理由が説明されています。

ポリシー内の Deny ステートメントによって明示的にアクセスが拒否された場合、AWS はアクセス拒否エラーメッセージに with an explicit deny in a type policy を含めます。アクセスが暗黙的に拒否された場合は、AWS はアクセス拒否エラーメッセージに because no type policy allows the action action を含めます。

注記

唯一の例外は、サービスコントロールポリシー (SCP) によってアクセスが拒否された場合です。暗黙的拒否の場合でも、エラーメッセージには due to an explicit deny in a Service Control Policy が常に含まれます。

ポリシータイプが同じである複数のポリシーが認証リクエストを拒否した場合、AWS はアクセス拒否エラーメッセージで番号を特定しません。複数のポリシータイプが原因で認証リクエストが拒否された場合、AWS は、これらのポリシータイプのうち 1 つだけをエラーメッセージに含めます。