エラー:AccessDeniedException「」 - AWS Resource Access Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

エラー:AccessDeniedException「」

シナリオ

リソースを共有しようとしたり、リソース共有を表示したりしようとすると、「Access Denied」と表示されます。

原因

必要なアクセス許可なしにリソース共有を作成しようとすると、このエラーが表示されることがあります。これは、 AWS Identity and Access Management (IAM) プリンシパルにアタッチされたポリシーのアクセス許可が不十分であることが原因である可能性があります。また、 に影響する AWS Organizations サービスコントロールポリシー (SCP) の制限が原因で発生する可能性もあります AWS アカウント。

ソリューション

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

このエラーを解決するには、リクエストを行ったプリンシパルが使用するアクセス許可ポリシーの Allow ステートメントによって、アクセス許可が付与されていることを確認する必要があります。さらに、組織の によってアクセス許可をブロックしないでくださいSCPs。

リソース共有を作成するには、次の 2 つのアクセス許可が必要です。

  • ram:CreateResourceShare

  • ram:AssociateResourceShare

リソース共有を表示するには、次のアクセス許可が必要です。

  • ram:GetResourceShares

リソース共有にアクセス許可をアタッチするには、次のアクセス許可が必要です。

  • resourceOwningService:PutPolicyAction

    これはプレースホルダーです。共有するリソースを所有するサービスのPutPolicy「」アクセス許可 (または同等のもの) に置き換える必要があります。例えば、Route 53 リゾルバールールを共有する場合、必要な権限は route53resolver:PutResolverRulePolicy になります。複数のリソースタイプを含むリソース共有の作成を許可する場合は、許可するリソースタイプごとに関連するアクセス許可を含める必要があります。

次の例は、このようなIAMアクセス許可ポリシーがどのように表示されるかを示しています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare", "ram:GetResourceShares", "resourceOwningService:PutPolicyAction" ], "Resource": "*" } ] }