Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Beheben von Fehlermeldungen bei verweigertem Zugriff

PDF
RSS
Fokusmodus
Beheben von Fehlermeldungen bei verweigertem Zugriff - AWS Identitäts- und Zugriffsverwaltung
Ich erhalte die Meldung „Zugriff verweigert“, wenn ich eine Anfrage an einen AWS Dienst stelleIch erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage mit temporären Sicherheitsanmeldeinformationen stelleBeispiele für Zugriffsverweigerung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die folgenden Informationen können Ihnen helfen, Fehler mit Zugriffsverweigerung zu identifizieren, zu diagnostizieren und zu beheben AWS Identity and Access Management. Fehler „Zugriff verweigert“ treten auf, wenn eine Autorisierungsanfrage AWS explizit oder implizit verweigert wird.

  • Eine ausdrückliche Ablehnung liegt vor, wenn eine Richtlinie eine Deny Anweisung für die spezifische Aktion enthält. AWS

  • Eine implizite Verweigerung tritt auf, wenn es keine entsprechende Deny-Anweisung, aber auch keine anwendbare Allow-Anweisung gibt. Da eine IAM-Richtlinie einen IAM-Prinzipal standardmäßig verweigert, muss die Richtlinie dem Prinzipal ausdrücklich erlauben, eine Aktion auszuführen. Andernfalls verweigert die Richtlinie implizit den Zugriff. Weitere Informationen finden Sie unter Der Unterschied zwischen expliziten und impliziten Zugriffsverweigerungen.

Wenn Sie eine Anfrage an einen Service oder eine Ressource stellen, gelten möglicherweise mehrere Richtlinien für die Anfrage. Überprüfen Sie zusätzlich zu der in der Fehlermeldung angegebenen Richtlinie alle geltenden Richtlinien.

  • Wenn mehrere Richtlinien desselben Richtlinientyps eine Anfrage ablehnen, wird in der Fehlermeldungen bei verweigertem Zugriff nicht die Anzahl der ausgewerteten Richtlinien angegeben.

  • Wenn mehrere Richtlinientypen eine Autorisierungsanfrage ablehnen AWS , wird nur einer dieser Richtlinientypen in die Fehlermeldung aufgenommen.

Wichtig

Haben Sie Probleme bei der Anmeldung AWS? Stellen Sie sicher, dass Sie sich auf der richtigen AWS -Anmeldeseite für Ihren Benutzertyp befinden. Wenn Sie der Root-Benutzer des AWS-Kontos (Kontoinhaber) sind, können Sie sich AWS mit den Anmeldeinformationen anmelden, die Sie bei der Erstellung des eingerichtet haben AWS-Konto. Wenn Sie IAM-Benutzer sind, kann Ihnen Ihr Kontoadministrator die AWS -Anmeldeinformationen bereitstellen. Wenn Sie Support anfordern müssen, verwenden Sie nicht den Feedback-Link auf dieser Seite. Das Formular geht beim AWS Dokumentationsteam ein, nicht Support. Wählen Sie stattdessen auf der Kontaktseite die Option Immer noch nicht in Ihrem AWS Konto angemeldet werden und wählen Sie dann eine der verfügbaren Support-Optionen aus.

Ich erhalte die Meldung „Zugriff verweigert“, wenn ich eine Anfrage an einen AWS Dienst stelle

  • Überprüfen Sie, ob die Fehlermeldung den Typ der Richtlinie enthält, die für die Verweigerung des Zugriffs verantwortlich ist. Wenn der Fehler beispielsweise erwähnt, dass der Zugriff aufgrund einer Dienststeuerungsrichtlinie (Service Control Policy, SCP) verweigert wird, können Sie sich auf die Problembehandlung von SCP-Problemen konzentrieren. Sobald Sie den Richtlinientyp identifiziert haben, können Sie in diesen Richtlinientypen nach Verweigerungserklärungen oder fehlenden Genehmigungen suchen. Wenn in der Fehlermeldung der Richtlinientyp, der für die Verweigerung des Zugriffs verantwortlich ist, nicht erwähnt wird, verwenden Sie die restlichen Richtlinien in diesem Abschnitt, um weitere Probleme zu beheben.

  • Stellen Sie sicher, dass Sie über die identitätsbasierten Richtlinienberechtigungen zum Aufrufen der Aktion und Ressource verfügen, die Sie angefordert haben. Wenn Bedingungen definiert sind, müssen Sie diese Bedingungen beim Senden der Anforderung ebenfalls erfüllen. Weitere Informationen zum Anzeigen oder Ändern von Richtlinien für einen IAM-Benutzer, einer -Gruppe oder -Rolle finden Sie unter Verwalten von IAM-Richtlinien.

  • Wenn eine Meldung AWS Management Console zurückgegeben wird, dass Sie nicht berechtigt sind, eine Aktion auszuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen oder Anmelde-Link zur Verfügung gestellt.

    Der folgende Beispielfehler tritt auf, wenn der mateojackson-IAM-Benutzer versucht, die Konsole zum Anzeigen von Details zu einem my-example-widget zu verwenden, jedoch nicht über widgets:GetWidget-Berechtigungen verfügt.

    User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: widgets:GetWidget on resource: my-example-widget

    In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion my-example-widget auf die Ressource widgets:GetWidget zugreifen zu können.

  • Versuchen Sie, auf einen Service zuzugreifen, der Ressourcenbasierte Richtlinien wie Amazon S3, Amazon SNS oder Amazon SQS unterstützt? Wenn dies der Fall ist, stellen Sie sicher, dass Sie in der Ressourcenrichtlinie als Auftraggeber aufgeführt sind und Ihnen Zugriff erteilt wurde. Wenn Sie eine Anfrage an einen Service innerhalb Ihres Kontos machen, können Ihnen entweder Ihre identitätsbasierte Richtlinien oder die ressourcenbasierten Richtlinien Berechtigung erteilen. Wenn Sie eine Anfrage an einen Service in einem anderen Kontos machen, dann müssen Ihnen sowohl Ihre identitätsbasierte Richtlinien als auch die ressourcenbasierten Richtlinien die Berechtigung erteilen. Informationen dazu, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren.

  • Wenn Ihre Richtlinie eine Bedingung mit einem Schlüssel-Wert-Paar umfasst, überprüfen Sie sie sorgfältig. Beispiele hierfür sind der aws:RequestTag/tag-keyglobale Bedingungsschlüssel AWS KMS kms:EncryptionContext:encryption_context_key, der und der ResourceTag/tag-key Bedingungsschlüssel, die von mehreren Diensten unterstützt werden. Stellen Sie sicher, dass der Schlüsselname nicht mit mehreren Ergebnissen übereinstimmt. Da bei Bedingungsschlüsselnamen die Groß-/Kleinschreibung nicht berücksichtigt wird, gibt eine Bedingung, die nach einem Schlüssel namens foo sucht, foo, Foo oder FOO. Wenn Ihre Anforderung mehrere Schlüssel-Wert-Paare mit Schlüsselnamen enthält, die sich nur durch die Groß- und Kleinschreibung unterscheiden, wird der Zugriff möglicherweise unerwartet verweigert. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Condition.

  • Wenn Sie eine Berechtigungsgrenze haben, überprüfen Sie, ob die für die Berechtigungsgrenze verwendete Richtlinie Ihre Anfrage zulässt. Wenn Ihre identitätsbasierten Richtlinien die Anforderung zulassen, Ihre Berechtigungsgrenze dies jedoch nicht tut, wird die Anforderung abgelehnt. Eine Berechtigungsgrenze bestimmt die maximalen Berechtigungen, die ein IAM-Auftraggeber (Benutzer oder Rolle) haben kann. Ressourcenbasierte Richtlinien werden nicht von Berechtigungsgrenzen beschränkt. Berechtigungsgrenzen sind nicht allgemein üblich. Weitere Informationen darüber, wie Richtlinien AWS bewertet werden, finden Sie unterAuswertungslogik für Richtlinien.

  • Wenn Sie Anfragen manuell signieren (ohne das zu verwenden AWS SDKs), stellen Sie sicher, dass Sie die Anfrage korrekt signiert haben.

  • Wenn Sie eine Amazon VPC-Endpunktrichtlinie verwenden und die Fehlermeldung „Zugriff verweigert“ erhalten, obwohl Sie nicht angemeldet sind, kann dies daran liegen AWS CloudTrail, dass sich das VPC-Endpunkt-Besitzerkonto vom aufrufenden Konto oder dem Zielrollenkonto unterscheidet.

Ich erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage mit temporären Sicherheitsanmeldeinformationen stelle

  • Stellen Sie zunächst sicher, dass der Zugriff nicht aus einem Grund verweigert wird, der nicht mit Ihren temporären Anmeldeinformationen in Verbindung steht. Weitere Informationen finden Sie unter Ich erhalte die Meldung „Zugriff verweigert“, wenn ich eine Anfrage an einen AWS Dienst stelle.

  • Überprüfen Sie, dass der Service temporäre Sicherheitsanmeldeinformationen zulässt. Informationen dazu finden Sie unter AWS Dienste, die mit IAM funktionieren.

  • Stellen Sie sicher, dass Ihre Anfragen korrekt signiert sind und die Anfrage richtig aufgebaut ist. Weitere Informationen finden Sie in der Dokumentation zum Toolkit oder unter Temporärer Anmeldeinformationen mit AWS-Ressourcen verwenden.

  • Stellen Sie sicher, dass die temporären Sicherheitsanmeldeinformationen nicht abgelaufen sind. Weitere Informationen finden Sie unter Temporäre IAM Sicherheitsanmeldeinformationen.

  • Überprüfen Sie, ob der IAM-Benutzer oder die IAM-Rolle über die richtigen Berechtigungen verfügt. Berechtigungen für temporäre Sicherheitsanmeldeinformationen werden von einem IAM-Benutzer oder einer Rolle abgeleitet. Dies hat zur Folge, dass die Berechtigungen auf diejenigen beschränkt sind, die der Rolle gewährt werden, deren temporäre Anmeldeinformationen Sie angenommen haben. Weitere Informationen zum Festlegen von Berechtigungen in temporären Sicherheitsanmeldeinformationen finden Sie unter Berechtigungen für temporäre Sicherheits-Anmeldeinformationen.

  • Wenn Sie eine Rolle übernommen haben, wird Ihre Rollensitzung möglicherweise durch Sitzungsrichtlinien eingeschränkt. Wenn Sie temporäre Sicherheitsanmeldedaten programmgesteuert anfordernAWS STS, können Sie optional Inline- oder verwaltete Sitzungsrichtlinien übergeben. Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie programmgesteuert eine Sitzung mit temporären Anmeldeinformationen für eine Rolle erstellen. Sie können ein einzelnes JSON-Inline-Sitzungsrichtliniendokument mit dem Policy-Parameter übergeben. Sie können mit dem Parameter PolicyArns bis zu 10 verwaltete Sitzungsrichtlinien angeben. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des Benutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien. Es kann auch sein, dass, wenn Ihr Administrator oder ein benutzerdefiniertes Programm Ihnen temporäre Anmeldeinformationen bereitstellt, bereits eine Sitzungsrichtlinie zum Einschränken Ihres Zugriffs enthalten ist.

  • Wenn Sie ein Verbundbenutzer sind, wird Ihre Sitzung möglicherweise durch Sitzungsrichtlinien beschränkt. Sie werden ein Verbundbenutzer, indem Sie sich AWS als IAM-Benutzer anmelden und dann ein Verbund-Token anfordern. Weitere Informationen zu Verbundbenutzern finden Sie unter Anfordern von Anmeldeinformationen über einen benutzerdefinierten Identity Broker. Wenn Sie oder Ihr Identity Broker während der Anforderung eines Verbund-Tokens Sitzungsrichtlinien übergeben haben, wird Ihre Sitzung durch diese Richtlinien beschränkt. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des IAM-Benutzers basierenden Richtlinien und der Sitzungsrichtlinien. Weitere Informationen zu Sitzungsrichtlinien finden Sie unter Sitzungsrichtlinien.

  • Wenn Sie auf eine Ressource mit einer ressourcenbasierten Richtlinie über eine Rolle zugreifen, überprüfen Sie, ob die Richtlinie der Rolle Berechtigungen erteilt. Die folgende Richtlinie beispielsweise erteilt MyRole im Konto 111122223333 die Zugriffsberechtigung auf amzn-s3-demo-bucket.

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "S3BucketPolicy",
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam::111122223333:role/MyRole"]},
    "Action": ["s3:PutObject"],
    "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
  }]
}

Beispiele für Zugriffsverweigerungs-Fehlermeldungen

Die meisten Zugriffsverweigerungs-Fehlermeldungen haben das Format User user is not authorized to perform action on resource because context. In diesem Beispiel user ist der Amazon-Ressourcenname (ARN), der keinen Zugriff action erhält, die Serviceaktion, die die Richtlinie verweigert, und der ARN der Ressource, für die die Richtlinie resource gilt. Das Feld stellt zusätzlichen Kontext über den Richtlinientyp dar, der erklärt, warum die Richtlinie den Zugriff verweigert.

Wenn eine Richtlinie den Zugriff ausdrücklich verweigert, weil die Richtlinie eine Deny Erklärung enthält, wird AWS der Ausdruck with an explicit deny in a type policy in die Fehlermeldung „Zugriff verweigert“ aufgenommen. Wenn die Richtlinie implizit den Zugriff verweigert, wird der Ausdruck because no type policy allows the action action in AWS die Fehlermeldung „Zugriff verweigert“ aufgenommen.

Anmerkung

Einige AWS Dienste unterstützen dieses Format für die Fehlermeldung „Zugriff verweigert“ nicht. Der Inhalt der Fehlermeldungen bei verweigertem Zugriff kann je nach Service, der die Autorisierungsanforderung stellt, variieren.

Die folgenden Beispiele zeigen das Format für verschiedene Arten von Zugriffsverweigerungs-Fehlermeldungen.

Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – implizite Verweigerung

  1. Suchen Sie in Ihren Dienststeuerungsrichtlinien nach einer fehlenden Allow Angabe für die Aktion (SCPs). Für das folgende Beispiel lautet die Aktion codecommit:ListRepositories.

  2. Aktualisieren Sie Ihre SCP, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter -Over-the-Air-Updates im AWS Organizations -Leitfaden.

User: arn:aws:iam::777788889999:user/JohnDoe is not authorized to perform:
codecommit:ListRepositories because no service control policy allows the codecommit:ListRespositories action

Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – explizite Verweigerung

  1. Suchen Sie in Ihren Richtlinien zur Servicesteuerung nach einer Deny Erklärung für die Aktion (SCPs). Für das folgende Beispiel lautet die Aktion codecommit:ListRepositories.

  2. Aktualisieren Sie Ihren SCP, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Aktualisieren einer Service-Kontrollrichtlinie (SCP) im AWS Organizations -Benutzerhandbuch.

User: arn:aws:iam::777788889999:user/JohnDoe is not authorized to perform: 
codecommit:ListRepositories with an explicit deny in a service control policy

Zugriff aufgrund einer Ressourcenkontrollrichtlinie verweigert – explizite Verweigerung

  1. Suchen Sie in Ihren Ressourcenkontrollrichtlinien nach einer Deny Erklärung zu der Aktion (RCPs). Für das folgende Beispiel lautet die Aktion secretsmanager:GetSecretValue.

  2. Aktualisieren Sie Ihre RCP, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Aktualisieren einer Ressourcenkontrollrichtlinie (RCP) im AWS Organizations -Benutzerhandbuch.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
secretsmanager:GetSecretValue on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:* with an explicit deny in a resource control policy

Zugriff aufgrund einer VPC-Endpunktrichtlinie verweigert – implizite Ablehnung

  1. Überprüfen Sie in Ihren Virtual Private Cloud (VPC)-Endpunktrichtlinien, ob eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion codecommit:ListRepositories.

  2. Aktualisieren Sie Ihre VPC-Endpunktrichtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Aktualisieren einer VPC-Endpunktrichtlinie im AWS PrivateLink -Handbuch.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codecommit:ListRepositories because no VPC endpoint policy allows the codecommit:ListRepositories action

Zugriff aufgrund einer VPC-Endpunktrichtlinie verweigert – explizite Ablehnung

  1. Überprüfen Sie, ob in Ihren Virtual Private Cloud (VPC)-Endpunktrichtlinien eine explizite Deny-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion codedeploy:ListDeployments.

  2. Aktualisieren Sie Ihre VPC-Endpunktrichtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Aktualisieren einer VPC-Endpunktrichtlinie im AWS PrivateLink -Handbuch.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codedeploy:ListDeployments on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:* with an explicit deny in a VPC endpoint policy

Zugriff aufgrund einer Berechtigungsgrenze verweigert – implizite Ablehnung

  1. Überprüfen Sie, ob in Ihrer Berechtigungsgrenze eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion codedeploy:ListDeployments.

  2. Aktualisieren Sie Ihre Berechtigungsgrenze, indem Sie die Allow-Anweisung zu Ihrer IAM-Richtlinie hinzufügen. Weitere Informationen erhalten Sie unter Berechtigungsgrenzen für IAM-Entitäten und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codedeploy:ListDeployments on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:* because no permissions boundary allows the codedeploy:ListDeployments action

Zugriff aufgrund einer Berechtigungsgrenze verweigert – explizite Ablehnung

  1. Überprüfen Sie, ob in Ihren Berechtigungsgrenzen eine explizite Deny-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion sagemaker:ListModels.

  2. Aktualisieren Sie Ihre Berechtigungsgrenze, indem Sie die Deny-Anweisung aus Ihrer IAM-Richtlinie entfernen. Weitere Informationen erhalten Sie unter Berechtigungsgrenzen für IAM-Entitäten und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::777788889999:user/JohnDoe is not authorized to perform: 
sagemaker:ListModels with an explicit deny in a permissions boundary

Zugriff aufgrund von Sitzungsrichtlinien verweigert – implizite Ablehnung

  1. Überprüfen Sie, ob in Ihren Sitzungsrichtlinien eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion codecommit:ListRepositories.

  2. Aktualisieren Sie Ihre Sitzungsrichtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Sitzungsrichtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codecommit:ListRepositories because no session policy allows the codecommit:ListRepositories action

Zugriff aufgrund von Sitzungsrichtlinien verweigert – explizite Ablehnung

  1. Überprüfen Sie, ob in Ihren Sitzungsrichtlinien eine explizite Deny-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion codedeploy:ListDeployments.

  2. Aktualisieren Sie Ihre Sitzungsrichtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Sitzungsrichtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codedeploy:ListDeployments on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:* with an explicit deny in a sessions policy

Zugriff aufgrund ressourcenbasierter Richtlinien verweigert – implizite Ablehnung

  1. Überprüfen Sie, ob in Ihrer ressourcenbasierten Richtlinie eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion secretsmanager:GetSecretValue.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
secretsmanager:GetSecretValue because no resource-based policy allows the secretsmanager:GetSecretValue action

Zugriff aufgrund ressourcenbasierter Richtlinien verweigert – explizite Ablehnung

  1. Suchen Sie nach einer expliziten Deny-Anweisung für die Aktion in Ihrer ressourcenbasierten Richtlinie. Für das folgende Beispiel lautet die Aktion secretsmanager:GetSecretValue.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
secretsmanager:GetSecretValue on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:* with an explicit deny in a resource-based policy

Zugriff aufgrund von Rollenvertrauensrichtlinien verweigert – implizite Verweigerung

  1. Überprüfen Sie, ob in Ihrer Rollenvertrauensrichtlinien eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion sts:AssumeRole.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
sts:AssumeRole because no role trust policy allows the sts:AssumeRole action

Zugriff aufgrund von Rollenvertrauensrichtlinien verweigert – explizite Ablehnung

  1. Überprüfen Sie, ob in Ihrer Rollenvertrauensrichtlinie eine explizite Deny-Anweisung für die Aktion enthalten ist. Für das folgende Beispiel lautet die Aktion sts:AssumeRole.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::777788889999:user/JohnDoe is not authorized to perform: 
sts:AssumeRole with an explicit deny in the role trust policy

Zugriff aufgrund identitätsbasierter Richtlinien verweigert – implizite Verweigerung

  1. Überprüfen Sie ob in identitätsbasierten Richtlinien, die der Identität angefügt sind, eine Allow-Anweisung für die Aktion fehlt. Im folgenden Beispiel ist die Aktion codecommit:ListRepositories der Rolle HR zugeordnet.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:role/HR is not authorized to perform: 
codecommit:ListRepositories because no identity-based policy allows the codecommit:ListRepositories action

Zugriff aufgrund identitätsbasierter Richtlinien verweigert – explizite Verweigerung

  1. Überprüfen Sie, ob in identitätsbasierten Richtlinien, die der Identität angefügt sind, eine explizite Deny-Anweisung für die Aktion vorhanden ist. Im folgenden Beispiel ist die Aktion codedeploy:ListDeployments der Rolle HR zugeordnet.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:role/HR is not authorized to perform: 
codedeploy:ListDeployments on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:* with an explicit deny in an identity-based policy

Der Zugriff wird verweigert, wenn eine VPC-Anfrage aufgrund einer anderen Richtlinie fehlschlägt

  1. Suchen Sie in Ihren Service Control-Richtlinien (SCPs) nach einer ausdrücklichen Deny Erklärung für die Aktion. Für das folgende Beispiel lautet die Aktion SNS:Publish.

  2. Aktualisieren Sie Ihren SCP, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter -Over-the-Air-Updates im AWS IAM Identity Center -Leitfaden.

User: arn:aws:sts::111122223333:assumed-role/role-name/role-session-name is not authorized to perform: 
SNS:Publish on resource: arn:aws:sns:us-east-1:444455556666:role-name-2 
with an explicit deny in a VPC endpoint policy transitively through a service control policy

Auf dieser Seite

Related resources

AWS Identity and Access Management API-Referenz
AWS CLI Befehle für AWS Identity and Access Management
SDKs und Werkzeuge 

Related resources

AWS Identity and Access Management API-Referenz
AWS CLI Befehle für AWS Identity and Access Management
SDKs und Werkzeuge 
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.