翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
エラー:AccessDeniedException「」
シナリオ
リソースを共有しようとしたり、リソース共有を表示したりしようとすると、「Access Denied
」と表示されます。
原因
必要なアクセス許可なしにリソース共有を作成しようとすると、このエラーが表示されることがあります。これは、 AWS Identity and Access Management (IAM) プリンシパルにアタッチされたポリシーのアクセス許可が不十分であることが原因である可能性があります。また、 に影響する AWS Organizations サービスコントロールポリシー (SCP) の制限が原因で発生する可能性もあります AWS アカウント。
ソリューション
アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
-
以下のユーザーとグループ AWS IAM Identity Center:
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
-
ID プロバイダーIAMを介して で管理されるユーザー:
ID フェデレーションのロールを作成します。IAM 「 ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) のロールを作成する」の手順に従います。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。「 IAMユーザーガイド」の「 IAMユーザーのロールを作成する」の手順に従います。
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。「 IAMユーザーガイド」の「ユーザーへのアクセス許可の追加 (コンソール)」の手順に従います。
-
このエラーを解決するには、リクエストを行ったプリンシパルが使用するアクセス許可ポリシーの Allow
ステートメントによって、アクセス許可が付与されていることを確認する必要があります。さらに、組織の によってアクセス許可をブロックしないでくださいSCPs。
リソース共有を作成するには、次の 2 つのアクセス許可が必要です。
-
ram:CreateResourceShare
-
ram:AssociateResourceShare
リソース共有を表示するには、次のアクセス許可が必要です。
-
ram:GetResourceShares
リソース共有にアクセス許可をアタッチするには、次のアクセス許可が必要です。
-
resourceOwningService
:PutPolicyAction
これはプレースホルダーです。共有するリソースを所有するサービスのPutPolicy「」アクセス許可 (または同等のもの) に置き換える必要があります。例えば、Route 53 リゾルバールールを共有する場合、必要な権限は
route53resolver:PutResolverRulePolicy
になります。複数のリソースタイプを含むリソース共有の作成を許可する場合は、許可するリソースタイプごとに関連するアクセス許可を含める必要があります。
次の例は、このようなIAMアクセス許可ポリシーがどのように表示されるかを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare", "ram:GetResourceShares", "
" ], "Resource": "*" } ] }
resourceOwningService
:PutPolicyAction