本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
错误:“AccessDeniedException”
情况
尝试共享资源或查看资源共享时,会出现 “访问被拒绝
” 异常。
原因
如果您在没有所需权限的情况下尝试创建资源共享,则可能会收到此错误。这可能是由于附加到您的Amazon Identity and Access Management (IAM) 委托人的策略的权限不足造成的。之所以发生这种情况,也可能是因为Amazon Organizations服务控制策略 (SCP) 的限制会影响您Amazon Web Services 账户。
解决方案
要提供访问权限,请向您的用户、组或角色添加权限:
-
通过身份提供商在 IAM 中管理的用户:
创建适用于联合验证的角色。按照 IAM 用户指南中创建适用于第三方身份提供商(联合访问)的角色。
-
IAM 用户:
-
创建用户可以代入的角色。按照 I AM 用户指南中为 IAM 用户创建角色中的说明进行操作。
-
(不推荐)将策略直接附加到用户或将用户添加到用户组。按照 IAM 用户指南中向用户添加权限(控制台)中的说明进行操作。
-
要解决该错误,您需要确保通过提出请求的委托人使用的权限策略中的Allow
语句授予权限。此外,权限不得被您组织的 SCP 阻止。
要创建资源共享,您需要以下两个权限:
-
ram:CreateResourceShare
-
ram:AssociateResourceShare
要查看资源共享,您需要以下权限:
-
ram:GetResourceShares
要向资源共享附加权限,您需要以下权限:
-
resourceOwningService
:PutPolicyAction
这是一个占位符。必须将其替换为拥有您要共享的资源的服务的PutPolicy “” 权限(或等效权限)。例如,如果您共享 Route 53 解析器规则,则所需的权限将是:
route53resolver:PutResolverRulePolicy
。如果要允许创建包含多种资源类型的资源共享,则必须包含要允许的每种资源类型的相关权限。
以下示例展示了这样的 IAM 权限策略可能是什么样子。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare", "ram:GetResourceShares", "
" ], "Resource": "*" } ] }
resourceOwningService
:PutPolicyAction