翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# エラー:「AccessDeniedException」
<a name="tshoot-access-denied"></a>

## シナリオ
<a name="tshoot-access-denied-scenario"></a>

リソースを共有しようとしたり、リソース共有を表示したりしようとすると、「Access Denied」と表示されます。

## 原因
<a name="tshoot-access-denied-cause"></a>

必要なアクセス許可なしにリソース共有を作成しようとすると、このエラーが表示されることがあります。これは、 AWS Identity and Access Management (IAM) プリンシパルにアタッチされたポリシーのアクセス許可が不十分であることが原因である可能性があります。これは、 に影響する AWS Organizations サービスコントロールポリシー (SCP) による制限によっても発生する可能性があります AWS アカウント。

## ソリューション
<a name="tshoot-access-denied-fix"></a>

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ 以下のユーザーとグループ AWS IAM アイデンティティセンター:

  アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
  + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
  + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。

このエラーを解決するには、リクエストを行ったプリンシパルが使用するアクセス許可ポリシーの `Allow` ステートメントによって、アクセス許可が付与されていることを確認する必要があります。また、アクセス許可が組織の SCP でブロックされてないことを確認する必要もあります。

リソース共有を**作成**するには、次の 2 つのアクセス許可が必要です。
+ `ram:CreateResourceShare`
+ `ram:AssociateResourceShare`

リソース共有を**表示**するには、次のアクセス許可が必要です。
+ `ram:GetResourceShares`

リソース共有に**アクセス許可をアタッチ**するには、次のアクセス許可が必要です。
+ `resourceOwningService:PutPolicyAction`

  これはプレースホルダーです。共有するリソースを所有するサービスの「PutPolicy」アクセス許可（または同等の権限）でこれを置き換える必要があります。例えば、Route 53 リゾルバールールを共有する場合、必要な権限は `route53resolver:PutResolverRulePolicy` になります。複数のリソースタイプを含むリソース共有の作成を許可する場合は、許可するリソースタイプごとに関連するアクセス許可を含める必要があります。

以下は、このような IAM アクセス許可ポリシーの例です。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:CreateResourceShare", 
                "ram:AssociateResourceShare",
                "ram:GetResourceShares",
                "resourceOwningService:PutPolicyAction"
            ],
            "Resource": "*"
        }
    ]
}
```

------