错误:“AccessDeniedException” - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

错误:“AccessDeniedException”

情况

尝试共享资源或查看资源共享时,会出现 “访问被拒绝” 异常。

原因

如果您在没有所需权限的情况下尝试创建资源共享,则可能会收到此错误。这可能是由于附加到您的Amazon Identity and Access Management (IAM) 委托人的策略的权限不足造成的。之所以发生这种情况,也可能是因为Amazon Organizations服务控制策略 (SCP) 的限制会影响您Amazon Web Services 账户。

解决方案

要提供访问权限,请向您的用户、组或角色添加权限:

要解决该错误,您需要确保通过提出请求的委托人使用的权限策略中的Allow语句授予权限。此外,权限不得被您组织的 SCP 阻止。

创建资源共享,您需要以下两个权限:

  • ram:CreateResourceShare

  • ram:AssociateResourceShare

查看资源共享,您需要以下权限:

  • ram:GetResourceShares

要向资源共享附加权限,您需要以下权限:

  • resourceOwningService:PutPolicyAction

    这是一个占位符。必须将其替换为拥有您要共享的资源的服务的PutPolicy “” 权限(或等效权限)。例如,如果您共享 Route 53 解析器规则,则所需的权限将是:route53resolver:PutResolverRulePolicy。如果要允许创建包含多种资源类型的资源共享,则必须包含要允许的每种资源类型的相关权限。

以下示例展示了这样的 IAM 权限策略可能是什么样子。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare", "ram:GetResourceShares", "resourceOwningService:PutPolicyAction" ], "Resource": "*" } ] }