错误:“AccessDeniedException” - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

错误:“AccessDeniedException”

情况

尝试共享资源或查看资源共享时,您会收到 Access Denied 异常。

原因

如果您在没有所需权限的情况下尝试创建资源共享,则可能会收到此错误。这可能是由于附加到您的 Amazon Identity and Access Management (IAM) 主体的策略权限不足造成的。也可能是因为 Amazon Organizations 服务控制策略 (SCP) 的限制影响 Amazon Web Services 账户而导致的。

解决方案

要提供访问权限,请为您的用户、组或角色添加权限:

要解决此错误,您需要确保由发出请求的主体所使用的权限策略中的 Allow 语句授予权限。此外,您组织的 SCP 不得阻止这些权限。

创建资源共享,您需要以下两种权限:

  • ram:CreateResourceShare

  • ram:AssociateResourceShare

查看资源共享,您需要以下权限:

  • ram:GetResourceShares

要向资源共享附加权限,您需要以下权限:

  • resourceOwningService:PutPolicyAction

    这是一个占位符。您必须将其替换为拥有您要共享的资源的服务的“PutPolicy”权限(或等效权限)。例如,如果您要共享 Route 53 Resolver 规则,则所需的权限将是:route53resolver:PutResolverRulePolicy。如果要允许创建包含多种资源类型的资源共享,则必须包括要允许的每种资源类型的相关权限。

下文是此类 IAM 权限策略的示例。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare", "ram:GetResourceShares", "resourceOwningService:PutPolicyAction" ], "Resource": "*" } ] }