Beheben von Fehlermeldungen bei verweigertem Zugriff - AWS Identitäts- und Zugriffsverwaltung
Ich erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage an einen AWS-Service stelleIch erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage mit temporären Sicherheitsanmeldeinformationen stelleBeispiele für Zugriffsverweigerung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beheben von Fehlermeldungen bei verweigertem Zugriff

Die folgenden Informationen können Ihnen bei der Identifizierung, Diagnose und Behebung von Zugriffsverweigerungsfehlern mit AWS Identity and Access Management helfen. Zugriffsverweigerungs-Fehler treten auf, wenn AWS eine Autorisierungsanforderung explizit oder implizit ablehnt.

  • Eine explizite Ablehnung tritt auf, wenn eine Richtlinie eine Deny-Anweisung für die spezifische AWS-Aktion enthält.

  • Eine implizite Verweigerung tritt auf, wenn es keine entsprechende Deny-Anweisung, aber auch keine anwendbare Allow-Anweisung gibt. Da eine IAM-Richtlinie einen IAM-Prinzipal standardmäßig verweigert, muss die Richtlinie dem Prinzipal ausdrücklich erlauben, eine Aktion auszuführen. Andernfalls verweigert die Richtlinie implizit den Zugriff. Weitere Informationen finden Sie unter Der Unterschied zwischen expliziten und impliziten Zugriffsverweigerungen.

Wenn Sie eine Anfrage an einen Service oder eine Ressource stellen, gelten möglicherweise mehrere Richtlinien für die Anfrage. Überprüfen Sie zusätzlich zu der in der Fehlermeldung angegebenen Richtlinie alle geltenden Richtlinien.

  • Wenn mehrere Richtlinien desselben Richtlinientyps eine Anfrage ablehnen, wird in der Fehlermeldungen bei verweigertem Zugriff nicht die Anzahl der ausgewerteten Richtlinien angegeben.

  • Wenn mehrere Richtlinien desselben Richtlinientyps eine Autorisierungsanforderung ablehnen, dann gibt AWS nur eine dieser Richtlinien-Typen in der Fehlermeldung an.

Wichtig

Haben Sie Probleme mit der Anmeldung bei AWS? Stellen Sie sicher, dass Sie sich auf der richtigen AWS-Anmeldeseite für Ihren Benutzertyp befinden. Wenn Sie der Root-Benutzer des AWS-Kontos (Kontoinhaber) sind, können Sie sich mit den Anmeldeinformationen bei AWS anmelden, die Sie bei der Erstellung des AWS-Kontos eingerichtet haben. Wenn Sie IAM-Benutzer sind, kann Ihnen Ihr Kontoadministrator die AWS-Anmeldeinformationen bereitstellen. Wenn Sie Support anfordern müssen, verwenden Sie nicht den Feedback-Link auf dieser Seite. Das Formular geht an das AWS-Dokumentations-Team, nicht an Support. Wählen Sie stattdessen auf der Seite Kontakt die Option Sie können sich noch immer nicht in Ihrem AWS-Konto anmelden und wählen Sie dann eine der verfügbaren Support-Optionen.

Ich erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage an einen AWS-Service stelle

  • Überprüfen Sie, ob die Fehlermeldung den Typ der Richtlinie enthält, die für die Verweigerung des Zugriffs verantwortlich ist. Wenn der Fehler beispielsweise erwähnt, dass der Zugriff aufgrund einer Dienststeuerungsrichtlinie (Service Control Policy, SCP) verweigert wird, können Sie sich auf die Problembehandlung von SCP-Problemen konzentrieren. Sobald Sie den Richtlinientyp identifiziert haben, können Sie in diesen Richtlinientypen nach Verweigerungserklärungen oder fehlenden Genehmigungen suchen. Wenn in der Fehlermeldung der Richtlinientyp, der für die Verweigerung des Zugriffs verantwortlich ist, nicht erwähnt wird, verwenden Sie die restlichen Richtlinien in diesem Abschnitt, um weitere Probleme zu beheben.

  • Stellen Sie sicher, dass Sie über die identitätsbasierten Richtlinienberechtigungen zum Aufrufen der Aktion und Ressource verfügen, die Sie angefordert haben. Wenn Bedingungen definiert sind, müssen Sie diese Bedingungen beim Senden der Anforderung ebenfalls erfüllen. Weitere Informationen zum Anzeigen oder Ändern von Richtlinien für einen IAM-Benutzer, einer -Gruppe oder -Rolle finden Sie unter Verwalten von IAM-Richtlinien.

  • Wenn die AWS Management Console Ihnen mitteilt, dass Sie nicht zur Ausführung einer Aktion autorisiert sind, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen oder Anmelde-Link zur Verfügung gestellt.

    Der folgende Beispielfehler tritt auf, wenn der mateojackson-IAM-Benutzer versucht, die Konsole zum Anzeigen von Details zu einem my-example-widget zu verwenden, jedoch nicht über widgets:GetWidget-Berechtigungen verfügt.

    User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: widgets:GetWidget on resource: my-example-widget

    In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion my-example-widget auf die Ressource widgets:GetWidget zugreifen zu können.

  • Versuchen Sie, auf einen Service zuzugreifen, der Ressourcenbasierte Richtlinien wie Amazon S3, Amazon SNS oder Amazon SQS unterstützt? Wenn dies der Fall ist, stellen Sie sicher, dass Sie in der Ressourcenrichtlinie als Auftraggeber aufgeführt sind und Ihnen Zugriff erteilt wurde. Wenn Sie eine Anfrage an einen Service innerhalb Ihres Kontos machen, können Ihnen entweder Ihre identitätsbasierte Richtlinien oder die ressourcenbasierten Richtlinien Berechtigung erteilen. Wenn Sie eine Anfrage an einen Service in einem anderen Kontos machen, dann müssen Ihnen sowohl Ihre identitätsbasierte Richtlinien als auch die ressourcenbasierten Richtlinien die Berechtigung erteilen. Informationen dazu, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren.

  • Wenn Ihre Richtlinie eine Bedingung mit einem Schlüssel-Wert-Paar umfasst, überprüfen Sie sie sorgfältig. Beispiele hierfür sind der aws:RequestTag/tag-key globale Bedingungsschlüssel, der AWS KMSkms:EncryptionContext:encryption_context_key und der ResourceTag/tag-key-Bedingungsschlüssel, der von mehreren Services unterstützt wird. Stellen Sie sicher, dass der Schlüsselname nicht mit mehreren Ergebnissen übereinstimmt. Da bei Bedingungsschlüsselnamen die Groß-/Kleinschreibung nicht berücksichtigt wird, gibt eine Bedingung, die nach einem Schlüssel namens foo sucht, foo, Foo oder FOO. Wenn Ihre Anforderung mehrere Schlüssel-Wert-Paare mit Schlüsselnamen enthält, die sich nur durch die Groß- und Kleinschreibung unterscheiden, wird der Zugriff möglicherweise unerwartet verweigert. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Condition.

  • Wenn Sie eine Berechtigungsgrenze haben, überprüfen Sie, ob die für die Berechtigungsgrenze verwendete Richtlinie Ihre Anfrage zulässt. Wenn Ihre identitätsbasierten Richtlinien die Anforderung zulassen, Ihre Berechtigungsgrenze dies jedoch nicht tut, wird die Anforderung abgelehnt. Eine Berechtigungsgrenze bestimmt die maximalen Berechtigungen, die ein IAM-Auftraggeber (Benutzer oder Rolle) haben kann. Ressourcenbasierte Richtlinien werden nicht von Berechtigungsgrenzen beschränkt. Berechtigungsgrenzen sind nicht allgemein üblich. Weitere Informationen dazu, wie AWS diese Richtlinien auswertet, finden Sie unter Auswertungslogik für Richtlinien.

  • Wenn Sie API-Anfragen manuell signieren (ohne Verwendung von AWS-SDKs), stellen Sie sicher, dass Sie die Anfrage korrekt signiert haben.

Ich erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage mit temporären Sicherheitsanmeldeinformationen stelle

  • Stellen Sie zunächst sicher, dass der Zugriff nicht aus einem Grund verweigert wird, der nicht mit Ihren temporären Anmeldeinformationen in Verbindung steht. Weitere Informationen finden Sie unter Ich erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage an einen AWS-Service stelle.

  • Überprüfen Sie, dass der Service temporäre Sicherheitsanmeldeinformationen zulässt. Informationen dazu finden Sie unter AWS Dienste, die mit IAM funktionieren.

  • Stellen Sie sicher, dass Ihre Anfragen korrekt signiert sind und die Anfrage richtig aufgebaut ist. Weitere Informationen finden Sie in der Dokumentation zum Toolkit oder unter Temporärer Anmeldeinformationen mit AWS-Ressourcen verwenden.

  • Stellen Sie sicher, dass die temporären Sicherheitsanmeldeinformationen nicht abgelaufen sind. Weitere Informationen finden Sie unter Temporäre IAM Sicherheitsanmeldeinformationen.

  • Überprüfen Sie, ob der IAM-Benutzer oder die IAM-Rolle über die richtigen Berechtigungen verfügt. Berechtigungen für temporäre Sicherheitsanmeldeinformationen werden von einem IAM-Benutzer oder einer Rolle abgeleitet. Dies hat zur Folge, dass die Berechtigungen auf diejenigen beschränkt sind, die der Rolle gewährt werden, deren temporäre Anmeldeinformationen Sie angenommen haben. Weitere Informationen zum Festlegen von Berechtigungen in temporären Sicherheitsanmeldeinformationen finden Sie unter Berechtigungen für temporäre Sicherheits-Anmeldeinformationen.

  • Wenn Sie eine Rolle übernommen haben, wird Ihre Rollensitzung möglicherweise durch Sitzungsrichtlinien eingeschränkt. Wenn Sie temporäre Sicherheitsanmeldeinformationen programmgesteuert über AWS STS anfordern, können Sie optional eingebundene oder verwaltete Sitzungsrichtlinien übergeben. Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie programmgesteuert eine Sitzung mit temporären Anmeldeinformationen für eine Rolle erstellen. Sie können ein einzelnes JSON-Inline-Sitzungsrichtliniendokument mit dem Policy-Parameter übergeben. Sie können mit dem Parameter PolicyArns bis zu 10 verwaltete Sitzungsrichtlinien angeben. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des Benutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien. Es kann auch sein, dass, wenn Ihr Administrator oder ein benutzerdefiniertes Programm Ihnen temporäre Anmeldeinformationen bereitstellt, bereits eine Sitzungsrichtlinie zum Einschränken Ihres Zugriffs enthalten ist.

  • Wenn Sie ein Verbundbenutzer sind, wird Ihre Sitzung möglicherweise durch Sitzungsrichtlinien beschränkt. Sie werden zu einem Verbundbenutzer, wenn Sie sich bei AWS als IAM-Benutzer anmelden und ein Verbund-Token anfordern. Weitere Informationen zu Verbundbenutzern finden Sie unter Anfordern von Anmeldeinformationen über einen benutzerdefinierten Identity Broker. Wenn Sie oder Ihr Identity Broker während der Anforderung eines Verbund-Tokens Sitzungsrichtlinien übergeben haben, wird Ihre Sitzung durch diese Richtlinien beschränkt. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des IAM-Benutzers basierenden Richtlinien und der Sitzungsrichtlinien. Weitere Informationen zu Sitzungsrichtlinien finden Sie unter Sitzungsrichtlinien.

  • Wenn Sie auf eine Ressource mit einer ressourcenbasierten Richtlinie über eine Rolle zugreifen, überprüfen Sie, ob die Richtlinie der Rolle Berechtigungen erteilt. Die folgende Richtlinie beispielsweise erteilt MyRole im Konto 111122223333 die Zugriffsberechtigung auf amzn-s3-demo-bucket.

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "S3BucketPolicy",
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam::111122223333:role/MyRole"]},
    "Action": ["s3:PutObject"],
    "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
  }]
}

Beispiele für Zugriffsverweigerungs-Fehlermeldungen

Die meisten Zugriffsverweigerungs-Fehlermeldungen haben das Format User user is not authorized to perform action on resource because context. In diesem Beispiel ist der Benutzer der Amazon-Ressourcenname (ARN), der keinen Zugriff erhält, die Aktion ist die Serviceaktion, die die Richtlinie verweigert, und die Ressource ist der ARN der Ressource, auf der die Richtlinie wirkt. Das Feld context (Kontext) stellt zusätzlichen Kontext über den Richtlinientyp dar, der erklärt, warum die Richtlinie den Zugriff verweigert.

Wenn eine Richtlinie den Zugriff explizit verweigert, weil die Richtlinie eine Deny-Anweisung enthält, dann fügt AWS den Ausdruck with an explicit deny in a type policy in die Zugriffsverweigerungs-Fehlermeldung ein. Wenn der Zugriff implizit verweigert wird, dann beinhaltet AWS die Phrase because no type policy allows the action action in der Zugriffsverweigerungs-Fehlermeldung.

Anmerkung

Einige AWS-Services unterstützen dieses Format der Fehlermeldung „Zugriff verweigert“ nicht. Der Inhalt der Fehlermeldungen bei verweigertem Zugriff kann je nach Service, der die Autorisierungsanforderung stellt, variieren.

Die folgenden Beispiele zeigen das Format für verschiedene Arten von Zugriffsverweigerungs-Fehlermeldungen.

Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – implizite Verweigerung

  1. Überprüfen Sie, ob in Ihren Service-Kontrollrichtlinien (SCPs) eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion codecommit:ListRepositories.

  2. Aktualisieren Sie Ihre SCP, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter -Over-the-Air-Updates im AWS Organizations-Leitfaden.

User: arn:aws:iam::777788889999:user/JohnDoe is not authorized to perform:
codecommit:ListRepositories because no service control policy allows the codecommit:ListRespositories action

Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – explizite Verweigerung

  1. Überprüfen Sie, ob in Ihren Service-Kontrollrichtlinien (SCPs) eine Deny-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion codecommit:ListRepositories.

  2. Aktualisieren Sie Ihren SCP, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Aktualisieren einer Service-Kontrollrichtlinie (SCP) im AWS Organizations-Benutzerhandbuch.

User: arn:aws:iam::777788889999:user/JohnDoe is not authorized to perform: 
codecommit:ListRepositories with an explicit deny in a service control policy

Zugriff aufgrund einer Ressourcenkontrollrichtlinie verweigert – explizite Verweigerung

  1. Suchen Sie in Ihren Ressourcenkontrollrichtlinien (RCPs) nach einer Deny-Anweisung zur Aktion. Für das folgende Beispiel lautet die Aktion secretsmanager:GetSecretValue.

  2. Aktualisieren Sie Ihre RCP, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Aktualisieren einer Ressourcenkontrollrichtlinie (RCP) im AWS Organizations-Benutzerhandbuch.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
secretsmanager:GetSecretValue on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:* with an explicit deny in a resource control policy

Zugriff aufgrund einer VPC-Endpunktrichtlinie verweigert – implizite Ablehnung

  1. Überprüfen Sie in Ihren Virtual Private Cloud (VPC)-Endpunktrichtlinien, ob eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion codecommit:ListRepositories.

  2. Aktualisieren Sie Ihre VPC-Endpunktrichtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Aktualisieren einer VPC-Endpunktrichtlinie im AWS PrivateLink-Handbuch.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codecommit:ListRepositories because no VPC endpoint policy allows the codecommit:ListRepositories action

Zugriff aufgrund einer VPC-Endpunktrichtlinie verweigert – explizite Ablehnung

  1. Überprüfen Sie, ob in Ihren Virtual Private Cloud (VPC)-Endpunktrichtlinien eine explizite Deny-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion codedeploy:ListDeployments.

  2. Aktualisieren Sie Ihre VPC-Endpunktrichtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Aktualisieren einer VPC-Endpunktrichtlinie im AWS PrivateLink-Handbuch.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codedeploy:ListDeployments on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:* with an explicit deny in a VPC endpoint policy

Zugriff aufgrund einer Berechtigungsgrenze verweigert – implizite Ablehnung

  1. Überprüfen Sie, ob in Ihrer Berechtigungsgrenze eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion codedeploy:ListDeployments.

  2. Aktualisieren Sie Ihre Berechtigungsgrenze, indem Sie die Allow-Anweisung zu Ihrer IAM-Richtlinie hinzufügen. Weitere Informationen erhalten Sie unter Berechtigungsgrenzen für IAM-Entitäten und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codedeploy:ListDeployments on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:* because no permissions boundary allows the codedeploy:ListDeployments action

Zugriff aufgrund einer Berechtigungsgrenze verweigert – explizite Ablehnung

  1. Überprüfen Sie, ob in Ihren Berechtigungsgrenzen eine explizite Deny-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion sagemaker:ListModels.

  2. Aktualisieren Sie Ihre Berechtigungsgrenze, indem Sie die Deny-Anweisung aus Ihrer IAM-Richtlinie entfernen. Weitere Informationen erhalten Sie unter Berechtigungsgrenzen für IAM-Entitäten und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::777788889999:user/JohnDoe is not authorized to perform: 
sagemaker:ListModels with an explicit deny in a permissions boundary

Zugriff aufgrund von Sitzungsrichtlinien verweigert – implizite Ablehnung

  1. Überprüfen Sie, ob in Ihren Sitzungsrichtlinien eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion codecommit:ListRepositories.

  2. Aktualisieren Sie Ihre Sitzungsrichtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Sitzungsrichtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codecommit:ListRepositories because no session policy allows the codecommit:ListRepositories action

Zugriff aufgrund von Sitzungsrichtlinien verweigert – explizite Ablehnung

  1. Überprüfen Sie, ob in Ihren Sitzungsrichtlinien eine explizite Deny-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion codedeploy:ListDeployments.

  2. Aktualisieren Sie Ihre Sitzungsrichtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Sitzungsrichtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
codedeploy:ListDeployments on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:* with an explicit deny in a sessions policy

Zugriff aufgrund ressourcenbasierter Richtlinien verweigert – implizite Ablehnung

  1. Überprüfen Sie, ob in Ihrer ressourcenbasierten Richtlinie eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion secretsmanager:GetSecretValue.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
secretsmanager:GetSecretValue because no resource-based policy allows the secretsmanager:GetSecretValue action

Zugriff aufgrund ressourcenbasierter Richtlinien verweigert – explizite Ablehnung

  1. Suchen Sie nach einer expliziten Deny-Anweisung für die Aktion in Ihrer ressourcenbasierten Richtlinie. Für das folgende Beispiel lautet die Aktion secretsmanager:GetSecretValue.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
secretsmanager:GetSecretValue on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:* with an explicit deny in a resource-based policy

Zugriff aufgrund von Rollenvertrauensrichtlinien verweigert – implizite Verweigerung

  1. Überprüfen Sie, ob in Ihrer Rollenvertrauensrichtlinien eine Allow-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion sts:AssumeRole.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:user/JohnDoe is not authorized to perform: 
sts:AssumeRole because no role trust policy allows the sts:AssumeRole action

Zugriff aufgrund von Rollenvertrauensrichtlinien verweigert – explizite Ablehnung

  1. Überprüfen Sie, ob in Ihrer Rollenvertrauensrichtlinie eine explizite Deny-Anweisung für die Aktion enthalten ist. Für das folgende Beispiel lautet die Aktion sts:AssumeRole.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::777788889999:user/JohnDoe is not authorized to perform: 
sts:AssumeRole with an explicit deny in the role trust policy

Zugriff aufgrund identitätsbasierter Richtlinien verweigert – implizite Verweigerung

  1. Überprüfen Sie ob in identitätsbasierten Richtlinien, die der Identität angefügt sind, eine Allow-Anweisung für die Aktion fehlt. Im folgenden Beispiel ist die Aktion codecommit:ListRepositories der Rolle HR zugeordnet.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Allow-Anweisung hinzufügen. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:role/HR is not authorized to perform: 
codecommit:ListRepositories because no identity-based policy allows the codecommit:ListRepositories action

Zugriff aufgrund identitätsbasierter Richtlinien verweigert – explizite Verweigerung

  1. Überprüfen Sie, ob in identitätsbasierten Richtlinien, die der Identität angefügt sind, eine explizite Deny-Anweisung für die Aktion vorhanden ist. Im folgenden Beispiel ist die Aktion codedeploy:ListDeployments der Rolle HR zugeordnet.

  2. Aktualisieren Sie Ihre Richtlinie, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und IAM-Richtlinien bearbeiten.

User: arn:aws:iam::123456789012:role/HR is not authorized to perform: 
codedeploy:ListDeployments on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:* with an explicit deny in an identity-based policy

Der Zugriff wird verweigert, wenn eine VPC-Anfrage aufgrund einer anderen Richtlinie fehlschlägt

  1. Überprüfen Sie, ob in Ihren Service Control Policies (SCPs) eine explizite Deny-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion SNS:Publish.

  2. Aktualisieren Sie Ihren SCP, indem Sie die Deny-Anweisung entfernen. Weitere Informationen finden Sie unter -Over-the-Air-Updates im AWS IAM Identity Center-Leitfaden.

User: arn:aws:sts::111122223333:assumed-role/role-name/role-session-name is not authorized to perform: 
SNS:Publish on resource: arn:aws:sns:us-east-1:444455556666:role-name-2 
with an explicit deny in a VPC endpoint policy transitively through a service control policy