排查访问被拒绝错误消息 - AWS Identity and Access Management

排查访问被拒绝错误消息

当 AWS 显式或隐式拒绝授权请求时,将显示拒绝访问错误讯息。当策略包含特定的 AWS 操作的Deny 声明时,将显式拒绝发生。当没有适用的 Deny 语句且没有适用的 Allow 语句时,会发生隐式拒绝。由于原定设置下拒绝访问 IAM 主体,因此必须显式允许他们执行操作。否则,将隐式拒绝访问。有关更多信息,请参阅 显式拒绝和隐式拒绝之间的区别

大多数拒绝访问的错误消息的格式都是 User user is not authorized to perform action on resource because context。在本例中,user(用户)是拒绝访问的 ARNaction(操作)是拒绝访问的服务操作,resource(资源)是执行操作的资源的 ARN。context(上下文)字段表示有关策略类型的其他上下文,用于解释拒绝访问的原因。

当由于策略中的 Deny 声明显式拒绝访问时,AWS 将包含拒绝访问错误消息中的 with an explicit deny in a type policy。当访问被隐式拒绝时,那么 AWS 包含在拒绝访问错误消息中的 because no type policy allows the action action

注意

唯一的例外是由于服务控制策略 (SCP) 而拒绝访问。错误消息将始终包括 due to an explicit deny in a Service Control Policy,即使这是一种隐含的否认。

如果同一策略类型的多个策略拒绝授权请求,则 AWS 在访问被拒绝错误消息中没有指定编号。如果由于多种策略类型而拒绝授权请求,AWS 仅包含错误消息中其中一种策略类型。