本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 錯誤:「AccessDeniedException」
## 案例
嘗試共用資源或檢視資源共用時,您會收到存取遭拒的例外狀況。
## 原因
如果您在沒有必要許可時嘗試建立資源共享,可能會收到此錯誤。這可能是由於連接到您的 AWS Identity and Access Management (IAM) 委託人之政策的許可不足所致。也可能因為服務 AWS Organizations 控制政策 (SCP) 對 造成影響的限制而發生這種情況 AWS 帳戶。
## 解決方案
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
若要解決錯誤,您需要確保發出請求的委託人所使用的許可政策中的`Allow`陳述式授予許可。此外,您組織的 SCPs 不得封鎖許可。
若要**建立**資源共享,您需要下列兩個許可:
+ `ram:CreateResourceShare`
+ `ram:AssociateResourceShare`
若要**檢視**資源共享,您需要下列許可:
+ `ram:GetResourceShares`
若要**將許可**連接到資源共享,您需要下列許可:
+ `resourceOwningService:PutPolicyAction`
這是預留位置。您必須將其取代為擁有您要共用資源之服務的「PutPolicy」許可 (或同等許可)。例如,如果您共用 Route 53 解析程式規則,則所需的許可會是:`route53resolver:PutResolverRulePolicy`。如果您想要允許建立包含多個資源類型的資源共用,則必須包含要允許之每個資源類型的相關許可。
下列範例顯示這類 IAM 許可政策的外觀。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:GetResourceShares",
"resourceOwningService:PutPolicyAction"
],
"Resource": "*"
}
]
}
```
------