Problembehandlung bei Fehlermeldungen mit verweigertem Zugriff - AWS Identitäts- und Zugriffsverwaltung
Ich erhalte die Meldung „Zugriff verweigert“, wenn ich eine Anfrage an einen AWS Dienst stelleIch erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage mit temporären Sicherheitsanmeldeinformationen stelleBeispiele für Zugriffsverweigerung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Problembehandlung bei Fehlermeldungen mit verweigertem Zugriff

Die folgenden Informationen können Ihnen helfen, Fehler mit Zugriffsverweigerung zu identifizieren, zu diagnostizieren und zu beheben AWS Identity and Access Management. Fehler „Zugriff verweigert“ treten auf, wenn eine Autorisierungsanfrage AWS explizit oder implizit verweigert wird.

  • Eine ausdrückliche Ablehnung liegt vor, wenn eine Richtlinie eine Deny Anweisung für die spezifische Aktion enthält. AWS

  • Eine implizite Verweigerung tritt auf, wenn es keine entsprechende Deny-Anweisung, aber auch keine anwendbare Allow-Anweisung gibt. Da eine IAM Richtlinie standardmäßig einen IAM Prinzipal verweigert, muss die Richtlinie dem Prinzipal ausdrücklich erlauben, eine Aktion auszuführen. Andernfalls verweigert die Richtlinie implizit den Zugriff. Weitere Informationen finden Sie unter Der Unterschied zwischen expliziten und impliziten Zugriffsverweigerungen.

Wenn Sie eine Anfrage an einen Dienst oder eine Ressource stellen, gelten möglicherweise mehrere Richtlinien für die Anfrage. Überprüfen Sie zusätzlich zu der in der Fehlermeldung angegebenen Richtlinie alle geltenden Richtlinien.

  • Wenn mehrere Richtlinien desselben Richtlinientyps eine Anfrage ablehnen, gibt die Fehlermeldung „Zugriff verweigert“ nicht die Anzahl der bewerteten Richtlinien an.

  • Wenn mehrere Richtlinientypen eine Autorisierungsanfrage AWS ablehnen, wird nur einer dieser Richtlinientypen in die Fehlermeldung aufgenommen.

Wichtig

Haben Sie Probleme bei der Anmeldung AWS? Stellen Sie sicher, dass Sie sich auf der richtigen AWS -Anmeldeseite für Ihren Benutzertyp befinden. Wenn Sie der Root-Benutzer des AWS-Kontos (Kontoinhaber) sind, können Sie sich AWS mit den Anmeldeinformationen anmelden, die Sie bei der Erstellung des eingerichtet haben AWS-Konto. Wenn Sie ein IAM Benutzer sind, kann Ihnen Ihr Kontoadministrator die AWS Anmeldeinformationen geben. Wenn Sie Support anfordern müssen, verwenden Sie nicht den Feedback-Link auf dieser Seite. Das Formular ist beim AWS Dokumentationsteam eingegangen, nicht AWS Support. Wählen Sie stattdessen auf der Kontaktseite die Option Immer noch nicht in Ihrem AWS Konto angemeldet werden und wählen Sie dann eine der verfügbaren Support-Optionen aus.

Ich erhalte die Meldung „Zugriff verweigert“, wenn ich eine Anfrage an einen AWS Dienst stelle

  • Überprüfen Sie, ob die Fehlermeldung den Typ der Richtlinie enthält, die für die Verweigerung des Zugriffs verantwortlich ist. Wenn in der Fehlermeldung beispielsweise erwähnt wird, dass der Zugriff aufgrund einer Dienststeuerungsrichtlinie (SCP) verweigert wurde, können Sie sich auf die Behebung von SCP Problemen konzentrieren. Sobald Sie den Richtlinientyp identifiziert haben, können Sie in diesen Richtlinientypen nach Verweigerungserklärungen oder fehlenden Zulassungsaktionen suchen. Wenn in der Fehlermeldung der Richtlinientyp, der für die Verweigerung des Zugriffs verantwortlich ist, nicht erwähnt wird, verwenden Sie die restlichen Richtlinien in diesem Abschnitt, um weitere Probleme zu beheben.

  • Stellen Sie sicher, dass Sie über die identitätsbasierten Richtlinienberechtigungen zum Aufrufen der Aktion und Ressource verfügen, die Sie angefordert haben. Wenn Bedingungen definiert sind, müssen Sie diese Bedingungen beim Senden der Anforderung ebenfalls erfüllen. Informationen zum Anzeigen oder Ändern von Richtlinien für einen IAM Benutzer, eine Gruppe oder eine Rolle finden Sie unterIAMRichtlinien verwalten.

  • Wenn eine Meldung AWS Management Console zurückgegeben wird, dass Sie nicht berechtigt sind, eine Aktion auszuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen oder Anmelde-Link zur Verfügung gestellt.

    Der folgende Beispielfehler tritt auf, wenn der mateojackson IAM Benutzer versucht, die Konsole zu verwenden, um Details zu einer fiktiven my-example-widget Ressource anzuzeigen, aber nicht über die fiktiven widgets:GetWidget Berechtigungen verfügt.

    User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: widgets:GetWidget on resource: my-example-widget

    In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion my-example-widget auf die Ressource widgets:GetWidget zugreifen zu können.

  • Versuchen Sie, auf einen Service zuzugreifen, der ressourcenbasierte Richtlinien unterstützt, wie Amazon S3SNS, Amazon oder Amazon? SQS Wenn dies der Fall ist, stellen Sie sicher, dass Sie in der Ressourcenrichtlinie als Auftraggeber aufgeführt sind und Ihnen Zugriff erteilt wurde. Wenn Sie eine Anfrage an einen Service innerhalb Ihres Kontos machen, können Ihnen entweder Ihre identitätsbasierte Richtlinien oder die ressourcenbasierten Richtlinien Berechtigung erteilen. Wenn Sie eine Anfrage an einen Service in einem anderen Kontos machen, dann müssen Ihnen sowohl Ihre identitätsbasierte Richtlinien als auch die ressourcenbasierten Richtlinien die Berechtigung erteilen. Informationen dazu, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM.

  • Wenn Ihre Richtlinie eine Bedingung mit einem Schlüssel-Wert-Paar umfasst, überprüfen Sie sie sorgfältig. Beispiele hierfür sind der aws:RequestTag/tag-key globale Bedingungsschlüssel, der und der ResourceTag/tag-key Bedingungsschlüssel AWS KMS kms:EncryptionContext:encryption_context_key, die von mehreren Diensten unterstützt werden. Stellen Sie sicher, dass der Schlüsselname nicht mit mehreren Ergebnissen übereinstimmt. Da bei Bedingungsschlüsselnamen die Groß-/Kleinschreibung nicht berücksichtigt wird, gibt eine Bedingung, die nach einem Schlüssel namens foo sucht, foo, Foo oder FOO. Wenn Ihre Anforderung mehrere Schlüssel-Wert-Paare mit Schlüsselnamen enthält, die sich nur durch die Groß- und Kleinschreibung unterscheiden, wird der Zugriff möglicherweise unerwartet verweigert. Weitere Informationen finden Sie unter IAMJSONpolitische Elemente: Condition.

  • Wenn Sie eine Berechtigungsgrenze haben, überprüfen Sie, ob die für die Berechtigungsgrenze verwendete Richtlinie Ihre Anfrage zulässt. Wenn Ihre identitätsbasierten Richtlinien die Anforderung zulassen, Ihre Berechtigungsgrenze dies jedoch nicht tut, wird die Anforderung abgelehnt. Eine Berechtigungsgrenze steuert die maximalen Berechtigungen, die ein IAM Prinzipal (Benutzer oder Rolle) haben kann. Ressourcenbasierte Richtlinien werden nicht von Berechtigungsgrenzen beschränkt. Berechtigungsgrenzen sind nicht allgemein üblich. Weitere Informationen darüber, wie Richtlinien AWS bewertet werden, finden Sie unterAuswertungslogik für Richtlinien.

  • Wenn Sie Anfragen manuell signieren (ohne das zu verwenden AWS SDKs), stellen Sie sicher, dass Sie die Anfrage korrekt signiert haben.

Ich erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage mit temporären Sicherheitsanmeldeinformationen stelle

  • Stellen Sie zunächst sicher, dass der Zugriff nicht aus einem Grund verweigert wird, der nicht mit Ihren temporären Anmeldeinformationen in Verbindung steht. Weitere Informationen finden Sie unter Ich erhalte die Meldung „Zugriff verweigert“, wenn ich eine Anfrage an einen AWS Dienst stelle.

  • Überprüfen Sie, dass der Service temporäre Sicherheitsanmeldeinformationen zulässt. Informationen dazu finden Sie unter AWS Dienste, die funktionieren mit IAM.

  • Stellen Sie sicher, dass Ihre Anfragen korrekt signiert sind und die Anfrage richtig aufgebaut ist. Weitere Informationen finden Sie in der Dokumentation zum Toolkit oder unter Verwenden temporärer Anmeldeinformationen mit AWS -Ressourcen.

  • Stellen Sie sicher, dass die temporären Sicherheitsanmeldeinformationen nicht abgelaufen sind. Weitere Informationen finden Sie unter Temporäre IAM Sicherheitsanmeldeinformationen.

  • Stellen Sie sicher, dass der IAM Benutzer oder die Rolle über die richtigen Berechtigungen verfügt. Berechtigungen für temporäre Sicherheitsanmeldeinformationen werden von einem IAM Benutzer oder einer Rolle abgeleitet. Dies hat zur Folge, dass die Berechtigungen auf diejenigen beschränkt sind, die der Rolle gewährt werden, deren temporäre Anmeldeinformationen Sie angenommen haben. Weitere Informationen zum Festlegen von Berechtigungen in temporären Sicherheitsanmeldeinformationen finden Sie unter Steuern von Berechtigungen für temporäre Sicherheitsanmeldeinformationen.

  • Wenn Sie eine Rolle übernommen haben, wird Ihre Rollensitzung möglicherweise durch Sitzungsrichtlinien eingeschränkt. Wenn Sie temporäre Sicherheitsanmeldedaten programmgesteuert anfordern AWS STS, können Sie optional Inline- oder verwaltete Sitzungsrichtlinien übergeben. Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie programmgesteuert eine Sitzung mit temporären Anmeldeinformationen für eine Rolle erstellen. Mithilfe des Parameters können Sie ein einzelnes Richtliniendokument für JSON Inline-Sitzungen übergeben. Policy Sie können mit dem Parameter PolicyArns bis zu 10 verwaltete Sitzungsrichtlinien angeben. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des Benutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien. Es kann auch sein, dass, wenn Ihr Administrator oder ein benutzerdefiniertes Programm Ihnen temporäre Anmeldeinformationen bereitstellt, bereits eine Sitzungsrichtlinie zum Einschränken Ihres Zugriffs enthalten ist.

  • Wenn Sie ein Verbundbenutzer sind, wird Ihre Sitzung möglicherweise durch Sitzungsrichtlinien beschränkt. Sie werden ein Verbundbenutzer, indem Sie sich AWS als IAM Benutzer anmelden und dann ein Verbund-Token anfordern. Weitere Informationen zu Verbundbenutzern finden Sie unter GetFederationToken - Verbund durch einen benutzerdefinierten Identity Broker. Wenn Sie oder Ihr Identity Broker während der Anforderung eines Verbund-Tokens Sitzungsrichtlinien übergeben haben, wird Ihre Sitzung durch diese Richtlinien beschränkt. Die daraus resultierenden Sitzungsberechtigungen bilden die Schnittstelle zwischen Ihren Richtlinien, die auf der IAM Benutzeridentität basieren, und den Sitzungsrichtlinien. Weitere Informationen zu Sitzungsrichtlinien finden Sie unter Sitzungsrichtlinien.

  • Wenn Sie auf eine Ressource mit einer ressourcenbasierten Richtlinie über eine Rolle zugreifen, überprüfen Sie, ob die Richtlinie der Rolle Berechtigungen erteilt. Die folgende Richtlinie beispielsweise erteilt MyRole im Konto 111122223333 die Zugriffsberechtigung auf MyBucket.

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "S3BucketPolicy",
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam::111122223333:role/MyRole"]},
    "Action": ["s3:PutObject"],
    "Resource": ["arn:aws:s3:::MyBucket/*"]
  }]
}

Beispiele für Zugriffsverweigerungs-Fehlermeldungen

Die meisten Zugriffsverweigerungs-Fehlermeldungen haben das Format User user is not authorized to perform action on resource because context. In diesem Beispiel: user ist der Amazon-Ressourcenname (ARN), der keinen Zugriff erhält, action ist die Serviceaktion, die die Richtlinie verweigert, und resource ist die ARN Ressource, auf die die Richtlinie einwirkt. Das Tool context Das Feld steht für zusätzlichen Kontext zum Richtlinientyp, der erklärt, warum die Richtlinie den Zugriff verweigert hat.

Wenn eine Richtlinie den Zugriff ausdrücklich verweigert, weil die Richtlinie eine Deny Erklärung enthält, wird AWS der Ausdruck with an explicit deny in a type policy in die Fehlermeldung „Zugriff verweigert“ aufgenommen. Wenn die Richtlinie implizit den Zugriff verweigert, wird der Ausdruck because no type policy allows the action action in AWS die Fehlermeldung „Zugriff verweigert“ aufgenommen.

Anmerkung

Einige AWS Dienste unterstützen dieses Format für die Fehlermeldung „Zugriff verweigert“ nicht. Der Inhalt der Fehlermeldungen bei verweigertem Zugriff kann je nach Service, der die Autorisierungsanforderung stellt, variieren.

Die folgenden Beispiele zeigen das Format für verschiedene Arten von Zugriffsverweigerungs-Fehlermeldungen.

Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – implizite Verweigerung

  1. Suchen Sie in Ihren Servicesteuerungsrichtlinien (SCPs) nach einer fehlenden Allow Angabe für die Aktion. Für das folgende Beispiel lautet die Aktion codecommit:ListRepositories.

  2. Aktualisieren Sie Ihre, SCP indem Sie die Allow Erklärung hinzufügen. Weitere Informationen finden Sie unter Aktualisieren von SCP im AWS Organizations Benutzerhandbuch.

User: arn:aws:iam::777788889999:user/JohnDoe is not authorized to perform:
codecommit:ListRepositories because no service control policy allows the codecommit:ListRespositories action

Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – explizite Verweigerung

  1. Suchen Sie in Ihren Service Control-Richtlinien (SCPs) nach einer Deny Erklärung zu der Aktion. Für das folgende Beispiel lautet die Aktion codecommit:ListRepositories.

  2. Aktualisieren Sie Ihre, SCP indem Sie die Deny Erklärung entfernen. Weitere Informationen finden Sie unter Aktualisieren von SCP im AWS Organizations Benutzerhandbuch.

User: arn:aws:iam::777788889999:user/JohnDoe is not authorized to perform: 
codecommit:ListRepositories with an explicit deny in a service control policy

Zugriff aufgrund einer VPC Endpunktrichtlinie verweigert — implizite Ablehnung

  1. Suchen Sie in Ihren Virtual Private Cloud (VPC) -Endpunktrichtlinien nach einer fehlenden Allow Angabe für die Aktion. Für das folgende Beispiel lautet die Aktion codecommit:ListRepositories.

  2. Aktualisieren Sie Ihre VPC Endpunktrichtlinie, indem Sie die Allow Erklärung hinzufügen. Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter Aktualisieren einer VPC Endpunktrichtlinie.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codecommit:ListRepositories because no VPC endpoint policy allows the codecommit:ListRepositories action

Zugriff aufgrund einer VPC Endpunktrichtlinie verweigert — explizite Ablehnung

  1. Suchen Sie in Ihren Virtual Private Cloud (VPC) -Endpunktrichtlinien nach einer ausdrücklichen Deny Erklärung für die Aktion. Für das folgende Beispiel lautet die Aktion codedeploy:ListDeployments.

  2. Aktualisieren Sie Ihre VPC Endpunktrichtlinie, indem Sie die Deny Erklärung entfernen. Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter Aktualisieren einer VPC Endpunktrichtlinie.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codedeploy:ListDeployments on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:* with an explicit deny in a VPC endpoint policy

Zugriff aufgrund einer Berechtigungsgrenze verweigert – implizite Ablehnung

  1. Überprüfen Sie, ob in Ihrer Berechtigungsgrenze eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion codedeploy:ListDeployments.

  2. Aktualisieren Sie Ihre Zugriffsgrenzen, indem Sie die Allow Erklärung zu Ihrer IAM Richtlinie hinzufügen. Weitere Informationen erhalten Sie unter Berechtigungsgrenzen für IAM-Entitäten und Bearbeiten von IAM-Richtlinien.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codedeploy:ListDeployments on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:* because no permissions boundary allows the codedeploy:ListDeployments action

Zugriff aufgrund einer Berechtigungsgrenze verweigert – explizite Ablehnung

  1. Überprüfen Sie, ob in Ihren Berechtigungsgrenzen eine explizite Deny-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion sagemaker:ListModels.

  2. Aktualisieren Sie Ihre Zugriffsgrenzen, indem Sie die Deny Erklärung aus Ihrer IAM Richtlinie entfernen. Weitere Informationen erhalten Sie unter Berechtigungsgrenzen für IAM-Entitäten und Bearbeiten von IAM-Richtlinien.

User: arn:aws:iam::777788889999:user/JohnDoe is not authorized to perform: 
sagemaker:ListModels with an explicit deny in a permissions boundary

Zugriff aufgrund von Sitzungsrichtlinien verweigert – implizite Ablehnung

  1. Überprüfen Sie, ob in Ihren Sitzungsrichtlinien eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion codecommit:ListRepositories.

  2. Aktualisieren Sie Ihre Sitzungsrichtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Sitzungsrichtlinien und Bearbeiten von IAM-Richtlinien.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codecommit:ListRepositories because no session policy allows the codecommit:ListRepositories action

Zugriff aufgrund von Sitzungsrichtlinien verweigert – explizite Ablehnung

  1. Überprüfen Sie, ob in Ihren Sitzungsrichtlinien eine explizite Deny-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion codedeploy:ListDeployments.

  2. Aktualisieren Sie Ihre Sitzungsrichtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Sitzungsrichtlinien und Bearbeiten von IAM-Richtlinien.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codedeploy:ListDeployments on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:* with an explicit deny in a sessions policy

Zugriff aufgrund ressourcenbasierter Richtlinien verweigert – implizite Ablehnung

  1. Überprüfen Sie, ob in Ihrer ressourcenbasierten Richtlinie eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion secretsmanager:GetSecretValue.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien und Bearbeiten von IAM-Richtlinien.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
secretsmanager:GetSecretValue because no resource-based policy allows the secretsmanager:GetSecretValue action

Zugriff aufgrund ressourcenbasierter Richtlinien verweigert – explizite Ablehnung

  1. Suchen Sie nach einer expliziten Deny-Anweisung für die Aktion in Ihrer ressourcenbasierten Richtlinie. Für das folgende Beispiel lautet die Aktion secretsmanager:GetSecretValue.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien und Bearbeiten von IAM-Richtlinien.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
secretsmanager:GetSecretValue on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:* with an explicit deny in a resource-based policy

Zugriff aufgrund von Rollenvertrauensrichtlinien verweigert – implizite Verweigerung

  1. Überprüfen Sie, ob in Ihrer Rollenvertrauensrichtlinien eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion sts:AssumeRole.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien und Bearbeiten von IAM-Richtlinien.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
sts:AssumeRole because no role trust policy allows the sts:AssumeRole action

Zugriff aufgrund von Rollenvertrauensrichtlinien verweigert – explizite Ablehnung

  1. Überprüfen Sie, ob in Ihrer Rollenvertrauensrichtlinie eine explizite Deny-Anweisung für die Aktion enthalten ist. Für das folgende Beispiel lautet die Aktion sts:AssumeRole.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien und Bearbeiten von IAM-Richtlinien.

User: arn:aws:iam::777788889999:user/JohnDoe is not authorized to perform: 
sts:AssumeRole with an explicit deny in the role trust policy

Zugriff aufgrund identitätsbasierter Richtlinien verweigert – implizite Verweigerung

  1. Überprüfen Sie ob in identitätsbasierten Richtlinien, die der Identität angefügt sind, eine Allow-Anweisung für die Aktion fehlt. Im folgenden Beispiel ist die Aktion der Rolle codecommit:ListRepositories zugeordnetHR.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und Bearbeiten von IAM-Richtlinien.

User: arn:aws:iam::123456789012:role/HR is not authorized to perform: 
codecommit:ListRepositories because no identity-based policy allows the codecommit:ListRepositories action

Der Zugriff wird aufgrund identitätsbasierter Richtlinien verweigert — explizite Ablehnung

  1. Überprüfen Sie, ob in identitätsbasierten Richtlinien, die der Identität angefügt sind, eine explizite Deny-Anweisung für die Aktion vorhanden ist. Im folgenden Beispiel ist die Aktion der Rolle codedeploy:ListDeployments zugeordnet. HR

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und Bearbeiten von IAM-Richtlinien.

User: arn:aws:iam::123456789012:role/HR is not authorized to perform: 
codedeploy:ListDeployments on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:* with an explicit deny in an identity-based policy

Der Zugriff wird verweigert, wenn eine VPC Anfrage aufgrund einer anderen Richtlinie fehlschlägt

  1. Suchen Sie in Ihren Service Control-Richtlinien (SCPs) nach einer ausdrücklichen Deny Erklärung für die Aktion. Für das folgende Beispiel lautet die Aktion SNS:Publish.

  2. Aktualisieren Sie Ihre, SCP indem Sie die Deny Erklärung entfernen. Weitere Informationen finden Sie unter Aktualisieren von SCP im AWS IAM Identity Center Benutzerhandbuch.

User: arn:aws:sts::111122223333:assumed-role/role-name/role-session-name is not authorized to perform: 
SNS:Publish on resource: arn:aws:sns:us-east-1:444455556666:role-name-2 
with an explicit deny in a VPC endpoint policy transitively through a service control policy