Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beheben von Fehlermeldungen bei verweigertem Zugriff
Die folgenden Informationen können Ihnen helfen, Fehler mit Zugriffsverweigerung zu identifizieren, zu diagnostizieren und zu beheben AWS Identity and Access Management. Fehler „Zugriff verweigert“ treten auf, wenn eine Autorisierungsanfrage AWS explizit oder implizit verweigert wird.
+ Eine *ausdrückliche Ablehnung liegt* vor, wenn eine Richtlinie eine `Deny` Anweisung für die spezifische Aktion enthält. AWS
+ Eine *implizite Verweigerung* tritt auf, wenn es keine entsprechende `Deny`-Anweisung, aber auch keine anwendbare `Allow`-Anweisung gibt. Da eine IAM-Richtlinie einen IAM-Prinzipal standardmäßig verweigert, muss die Richtlinie dem Prinzipal ausdrücklich erlauben, eine Aktion auszuführen. Andernfalls verweigert die Richtlinie implizit den Zugriff. Weitere Informationen finden Sie unter [Der Unterschied zwischen expliziten und impliziten Zugriffsverweigerungen](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md).
Wenn Sie eine Anfrage an einen Service oder eine Ressource stellen, gelten möglicherweise mehrere Richtlinien für die Anfrage. Überprüfen Sie zusätzlich zu der in der Fehlermeldung angegebenen Richtlinie alle geltenden Richtlinien.
+ Wenn mehrere Richtlinien desselben Richtlinientyps eine Anfrage ablehnen, wird in der Fehlermeldungen bei verweigertem Zugriff nicht die Anzahl der ausgewerteten Richtlinien angegeben.
+ Wenn mehrere Richtlinientypen eine Autorisierungsanfrage ablehnen AWS , wird nur einer dieser Richtlinientypen in die Fehlermeldung aufgenommen.
**Wichtig**
**Haben Sie Probleme bei der Anmeldung AWS?** Stellen Sie sicher, dass Sie sich auf der richtigen [AWS -Anmeldeseite](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) für Ihren Benutzertyp befinden. Wenn Sie der Root-Benutzer des AWS-Kontos (Kontoinhaber) sind, können Sie sich AWS mit den Anmeldeinformationen anmelden, die Sie bei der Erstellung des eingerichtet haben AWS-Konto. Wenn Sie IAM-Benutzer sind, kann Ihnen Ihr Kontoadministrator die AWS -Anmeldeinformationen bereitstellen. Wenn Sie Support anfordern müssen, verwenden Sie nicht den Feedback-Link auf dieser Seite. Das Formular geht beim AWS Dokumentationsteam ein, nicht Support. Wählen Sie stattdessen auf der [Kontaktseite](https://aws.amazon.com/contact-us/) die Option **Immer noch nicht in Ihrem AWS Konto angemeldet** werden und wählen Sie dann eine der verfügbaren Support-Optionen aus.
## Ich erhalte die Meldung „Zugriff verweigert“, wenn ich eine Anfrage an einen AWS Dienst stelle
+ Prüfen Sie, ob die Fehlermeldung den Typ und den [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) der Richtlinie enthält, die für die Zugriffsverweigerung verantwortlich ist. Wenn dies der Fall ist, suchen Sie in der angegebenen Richtlinie nach Verweigerungserklärungen für die Aktion. Wenn der Richtlinientyp angegeben wird, aber kein Richtlinien-ARN vorhanden ist, konzentrieren Sie sich auf die Behebung von Problemen für diesen Richtlinientyp: Suchen Sie in Richtlinien des angegebenen Typs nach Ablehnungsaussagen für die Aktion. Wenn in der Fehlermeldung der Richtlinientyp, der für die Verweigerung des Zugriffs verantwortlich ist, nicht erwähnt wird, verwenden Sie die restlichen Richtlinien in diesem Abschnitt, um weitere Probleme zu beheben.
+ Stellen Sie sicher, dass Sie über die identitätsbasierten Richtlinienberechtigungen zum Aufrufen der Aktion und Ressource verfügen, die Sie angefordert haben. Wenn Bedingungen definiert sind, müssen Sie diese Bedingungen beim Senden der Anforderung ebenfalls erfüllen. Weitere Informationen zum Anzeigen oder Ändern von Richtlinien für einen IAM-Benutzer, einer -Gruppe oder -Rolle finden Sie unter [Verwalten von IAM-Richtlinien](access_policies_manage.md).
+ Wenn eine Meldung AWS-Managementkonsole zurückgegeben wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen oder Anmelde-Link zur Verfügung gestellt.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson`-IAM-Benutzer versucht, die Konsole zum Anzeigen von Details zu einem `{{my-example-widget}}` zu verwenden, jedoch nicht über `widgets:{{GetWidget}}`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: widgets:{{GetWidget}} on resource: {{my-example-widget}}
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `{{my-example-widget}}` auf die Ressource `widgets:{{GetWidget}}` zugreifen zu können.
+ Versuchen Sie, auf einen Service zuzugreifen, der [Ressourcenbasierte Richtlinien](access_policies_identity-vs-resource.md) wie Amazon S3, Amazon SNS oder Amazon SQS unterstützt? Wenn dies der Fall ist, stellen Sie sicher, dass Sie in der Ressourcenrichtlinie als Auftraggeber aufgeführt sind und Ihnen Zugriff erteilt wurde. Wenn Sie eine Anfrage an einen Service innerhalb Ihres Kontos machen, können Ihnen entweder Ihre identitätsbasierte Richtlinien oder die ressourcenbasierten Richtlinien Berechtigung erteilen. Wenn Sie eine Anfrage an einen Service in einem anderen Kontos machen, dann müssen Ihnen sowohl Ihre identitätsbasierte Richtlinien als auch die ressourcenbasierten Richtlinien die Berechtigung erteilen. Informationen dazu, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).
+ Wenn Ihre Richtlinie eine Bedingung mit einem Schlüssel-Wert-Paar umfasst, überprüfen Sie sie sorgfältig. Beispiele hierfür sind der [`aws:RequestTag/{{tag-key}}`](reference_policies_condition-keys.md)globale Bedingungsschlüssel AWS KMS [kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context](kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context), der und der `ResourceTag/{{tag-key}}` Bedingungsschlüssel, die von mehreren Diensten unterstützt werden. Stellen Sie sicher, dass der Schlüsselname nicht mit mehreren Ergebnissen übereinstimmt. Da bei Bedingungsschlüsselnamen die Groß-/Kleinschreibung nicht berücksichtigt wird, gibt eine Bedingung, die nach einem Schlüssel namens `foo` sucht, `foo`, `Foo` oder `FOO`. Wenn Ihre Anforderung mehrere Schlüssel-Wert-Paare mit Schlüsselnamen enthält, die sich nur durch die Groß- und Kleinschreibung unterscheiden, wird der Zugriff möglicherweise unerwartet verweigert. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Condition](reference_policies_elements_condition.md).
+ Wenn Sie eine [Berechtigungsgrenze](access_policies_boundaries.md) haben, überprüfen Sie, ob die für die Berechtigungsgrenze verwendete Richtlinie Ihre Anfrage zulässt. Wenn Ihre identitätsbasierten Richtlinien die Anforderung zulassen, Ihre Berechtigungsgrenze dies jedoch nicht tut, wird die Anforderung abgelehnt. Eine Berechtigungsgrenze bestimmt die maximalen Berechtigungen, die ein IAM-Auftraggeber (Benutzer oder Rolle) haben kann. Ressourcenbasierte Richtlinien werden nicht von Berechtigungsgrenzen beschränkt. Berechtigungsgrenzen sind nicht allgemein üblich. Weitere Informationen darüber, wie Richtlinien AWS bewertet werden, finden Sie unter[Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md).
+ Wenn Sie Anfragen manuell signieren (ohne das zu verwenden [AWS SDKs](https://aws.amazon.com/developer/tools/)), stellen Sie sicher, dass Sie [die Anfrage korrekt signiert](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html) haben.
+ Wenn Sie eine [Amazon-VPC-Endpunktrichtlinie](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html) verwenden und eine Fehlermeldung erhalten, dass der Zugriff verweigert wurde, die in AWS CloudTrail nicht protokolliert wird, könnte dies daran liegen, dass sich das Konto des VPC-Endpunktbesitzers vom aufrufenden Konto oder vom Zielrollenkonto unterscheidet.
## Ich erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage mit temporären Sicherheitsanmeldeinformationen stelle
+ Stellen Sie zunächst sicher, dass der Zugriff nicht aus einem Grund verweigert wird, der nicht mit Ihren temporären Anmeldeinformationen in Verbindung steht. Weitere Informationen finden Sie unter [Ich erhalte die Meldung „Zugriff verweigert“, wenn ich eine Anfrage an einen AWS Dienst stelle](#troubleshoot_general_access-denied-service).
+ Überprüfen Sie, dass der Service temporäre Sicherheitsanmeldeinformationen zulässt. Informationen dazu finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).
+ Stellen Sie sicher, dass Ihre Anfragen korrekt signiert sind und die Anfrage richtig aufgebaut ist. Weitere Informationen finden Sie in der Dokumentation zum [Toolkit](https://aws.amazon.com/developer/tools/) oder unter [Verwenden Sie temporäre Anmeldeinformationen mit AWS Ressourcen](id_credentials_temp_use-resources.md).
+ Stellen Sie sicher, dass die temporären Sicherheitsanmeldeinformationen nicht abgelaufen sind. Weitere Informationen finden Sie unter [Temporäre IAM Sicherheitsanmeldeinformationen](id_credentials_temp.md).
+ Überprüfen Sie, ob der IAM-Benutzer oder die IAM-Rolle über die richtigen Berechtigungen verfügt. Berechtigungen für temporäre Sicherheitsanmeldeinformationen werden von einem IAM-Benutzer oder einer Rolle abgeleitet. Dies hat zur Folge, dass die Berechtigungen auf diejenigen beschränkt sind, die der Rolle gewährt werden, deren temporäre Anmeldeinformationen Sie angenommen haben. Weitere Informationen zum Festlegen von Berechtigungen in temporären Sicherheitsanmeldeinformationen finden Sie unter [Berechtigungen für temporäre Sicherheits-Anmeldeinformationen](id_credentials_temp_control-access.md).
+ Wenn Sie eine Rolle übernommen haben, wird Ihre Rollensitzung möglicherweise durch Sitzungsrichtlinien eingeschränkt. Wenn Sie [temporäre Sicherheitsanmeldedaten programmgesteuert anfordern](id_credentials_temp_request.md) AWS STS, können Sie optional Inline- oder verwaltete [Sitzungsrichtlinien](access_policies.md#policies_session) übergeben. Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie programmgesteuert eine Sitzung mit temporären Anmeldeinformationen für eine Rolle erstellen. Sie können ein einzelnes JSON-Inline-Sitzungsrichtliniendokument mit dem `Policy`-Parameter übergeben. Sie können mit dem Parameter `PolicyArns` bis zu 10 verwaltete Sitzungsrichtlinien angeben. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des Benutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien. Es kann auch sein, dass, wenn Ihr Administrator oder ein benutzerdefiniertes Programm Ihnen temporäre Anmeldeinformationen bereitstellt, bereits eine Sitzungsrichtlinie zum Einschränken Ihres Zugriffs enthalten ist.
+ Wenn Sie ein AWS STS Verbundbenutzerprinzipal sind, ist Ihre Sitzung möglicherweise durch Sitzungsrichtlinien eingeschränkt. Sie erstellen eine Verbundbenutzersitzung, indem Sie sich AWS als IAM-Benutzer anmelden und dann ein Verbund-Token anfordern. Weitere Informationen finden Sie unter [Anfordern von Anmeldeinformationen über einen benutzerdefinierten Identity Broker](id_credentials_temp_request.md#api_getfederationtoken). Wenn Sie oder Ihr Identity Broker während der Anforderung eines Verbund-Tokens Sitzungsrichtlinien übergeben haben, wird Ihre Sitzung durch diese Richtlinien beschränkt. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des IAM-Benutzers basierenden Richtlinien und der Sitzungsrichtlinien. Weitere Informationen zu Sitzungsrichtlinien finden Sie unter [Sitzungsrichtlinien](access_policies.md#policies_session).
+ Wenn Sie auf eine Ressource mit einer ressourcenbasierten Richtlinie über eine Rolle zugreifen, überprüfen Sie, ob die Richtlinie der Rolle Berechtigungen erteilt. Die folgende Richtlinie beispielsweise erteilt `MyRole` im Konto `111122223333` die Zugriffsberechtigung auf `amzn-s3-demo-bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "S3BucketPolicy",
"Effect": "Allow",
"Principal": {"AWS": ["arn:aws:iam::111122223333:role/MyRole"]},
"Action": ["s3:PutObject"],
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
}]
}
```
------
## Beispiele für Zugriffsverweigerungs-Fehlermeldungen
Die meisten Zugriffsverweigerungs-Fehlermeldungen haben das Format `User {{user}} is not authorized to perform {{action}} on {{resource}} because {{context}}`. In diesem Beispiel {{user}} ist dies der ARN des Prinzipals, dem der Zugriff verweigert wurde, {{action}} die Dienstaktion, die die Richtlinie verweigert, und der ARN der Ressource, für die die Richtlinie {{resource}} gilt. Das {{context}} Feld bietet zusätzlichen Kontext zu dem Richtlinientyp, der den Zugriff verweigert hat. In einigen Fällen enthält es auch den ARN der Richtlinie, die den Zugriff verweigert hat.
Wenn eine Richtlinie den Zugriff ausdrücklich verweigert, weil die Richtlinie eine `Deny` Erklärung enthält, wird AWS der Ausdruck `with an explicit deny in a {{type}} policy` in die Fehlermeldung „Zugriff verweigert“ aufgenommen. Dieser Satz kann auch den ARN der Richtlinie wie folgt angeben:`with an explicit deny in a {{type}} policy: {{policy ARN}}`.
Wenn die Richtlinie implizit den Zugriff verweigert, wird der Ausdruck AWS `because no {{type}} policy allows the {{action}} action` in die Fehlermeldung „Zugriff verweigert“ aufgenommen.
**Anmerkung**
Einige AWS Dienste unterstützen dieses Format für die Fehlermeldung „Zugriff verweigert“ nicht. Der Inhalt der Fehlermeldungen bei verweigertem Zugriff kann je nach Service, der die Autorisierungsanforderung stellt, variieren.
Die folgenden Beispiele zeigen das Format für verschiedene Arten von Zugriffsverweigerungs-Fehlermeldungen.
### Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – implizite Verweigerung
1. Suchen Sie in Ihren Dienststeuerungsrichtlinien nach einer fehlenden `Allow` Angabe für die Aktion (SCPs). Für das folgende Beispiel lautet die Aktion `codecommit:ListRepositories`.
1. Aktualisieren Sie Ihre SCP, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [-Over-the-Air-Updates](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy) im *AWS Organizations -Leitfaden*.
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no service control policy allows the codecommit:ListRepositories action
```
### Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – explizite Verweigerung
1. Wenn in der Fehlermeldung ein Richtlinien-ARN angegeben wird, suchen Sie in der angegebenen Service Control Policy (SCP) nach einer `Deny` Anweisung für die Aktion. Im folgenden Beispiel lautet `codecommit:ListRepositories` die Aktion.
1. Wenn in der Fehlermeldung kein Richtlinien-ARN angegeben ist, suchen Sie in Ihrem nach einer `Deny` Erklärung für die Aktion SCPs.
1. Aktualisieren Sie Ihren SCP, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Aktualisieren einer Service Control Policy (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy).
Fehlermeldung mit einem Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
with an explicit deny in a service control policy: arn:aws:organizations::777788889999:policy/o-exampleorgid/service_control_policy/p-examplepolicyid123
```
Fehlermeldung ohne Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
with an explicit deny in a service control policy
```
### Zugriff aufgrund einer Ressourcenkontrollrichtlinie verweigert – explizite Verweigerung
1. Wenn in der Fehlermeldung ein Richtlinien-ARN angegeben wird, suchen Sie in der angegebenen Resource Control Policy (RCP) nach einer `Deny` Anweisung für die Aktion. Im folgenden Beispiel lautet `secretsmanager:GetSecretValue` die Aktion.
1. Wenn in der Fehlermeldung kein Richtlinien-ARN angegeben ist, suchen Sie in Ihrem nach einer `Deny` Erklärung für die Aktion RCPs.
1. Aktualisieren Sie Ihre RCP, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Aktualisieren einer Resource Control Policy (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy-rcp).
Fehlermeldung mit einem Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource control policy: arn:aws:organizations::777788889999:policy/o-exampleorgid/resource_control_policy/p-examplepolicyid456
```
Fehlermeldung ohne Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource control policy
```
### Zugriff aufgrund einer VPC-Endpunktrichtlinie verweigert – implizite Ablehnung
1. Überprüfen Sie in Ihren Virtual Private Cloud (VPC)-Endpunktrichtlinien, ob eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `codecommit:ListRepositories`.
1. Aktualisieren Sie Ihre VPC-Endpunktrichtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Aktualisieren einer VPC-Endpunktrichtlinie](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) im *AWS PrivateLink -Handbuch*.
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no VPC endpoint policy allows the codecommit:ListRepositories action
```
### Zugriff aufgrund einer VPC-Endpunktrichtlinie verweigert – explizite Ablehnung
1. Überprüfen Sie, ob in Ihren Virtual Private Cloud (VPC)-Endpunktrichtlinien eine explizite `Deny`-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion `codedeploy:ListDeployments`.
1. Aktualisieren Sie Ihre VPC-Endpunktrichtlinie, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie unter [Aktualisieren einer VPC-Endpunktrichtlinie](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) im *AWS PrivateLink -Handbuch*.
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a VPC endpoint policy
```
### Zugriff aufgrund einer Berechtigungsgrenze verweigert – implizite Ablehnung
1. Überprüfen Sie, ob in Ihrer Berechtigungsgrenze eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `codedeploy:ListDeployments`.
1. Aktualisieren Sie Ihre Berechtigungsgrenze, indem Sie die `Allow`-Anweisung zu Ihrer IAM-Richtlinie hinzufügen. Weitere Informationen erhalten Sie unter [Berechtigungsgrenzen für IAM-Entitäten](access_policies_boundaries.md) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
because no permissions boundary allows the codedeploy:ListDeployments action
```
### Zugriff aufgrund einer Berechtigungsgrenze verweigert – explizite Ablehnung
1. Wenn in der Fehlermeldung ein Richtlinien-ARN angegeben wird, suchen Sie nach einer `Deny` Anweisung für die Aktion in der angegebenen Berechtigungsgrenze. Im folgenden Beispiel lautet die Aktion`sagemaker:ListModels`.
1. Wenn in der Fehlermeldung kein Richtlinien-ARN angegeben ist, suchen Sie in der dem Prinzipal zugewiesenen Berechtigungsgrenze nach einer `Deny` Anweisung für die Aktion.
1. Aktualisieren Sie Ihre Berechtigungsgrenze, indem Sie die `Deny`-Anweisung aus Ihrer IAM-Richtlinie entfernen. Weitere Informationen erhalten Sie unter [Berechtigungsgrenzen für IAM-Entitäten](access_policies_boundaries.md) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
Fehlermeldung mit einem Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sagemaker:ListModels
with an explicit deny in a permissions boundary: arn:aws:iam::123456789012:policy/DeveloperPermissionBoundary
```
Fehlermeldung ohne Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sagemaker:ListModels
with an explicit deny in a permissions boundary
```
### Zugriff aufgrund von Sitzungsrichtlinien verweigert – implizite Ablehnung
1. Überprüfen Sie, ob in Ihren Sitzungsrichtlinien eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `codecommit:ListRepositories`.
1. Aktualisieren Sie Ihre Sitzungsrichtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no session policy allows the codecommit:ListRepositories action
```
### Zugriff aufgrund von Sitzungsrichtlinien verweigert – explizite Ablehnung
1. Wenn in der Fehlermeldung ein Richtlinien-ARN angegeben wird, suchen Sie in der angegebenen Sitzungsrichtlinie nach einer `Deny` Anweisung für die Aktion. Im folgenden Beispiel lautet die Aktion`codedeploy:ListDeployments`.
1. Wenn in der Fehlermeldung kein Richtlinien-ARN angegeben ist, suchen Sie in Ihren Sitzungsrichtlinien nach einer `Deny` Erklärung für die Aktion.
1. Aktualisieren Sie Ihre Sitzungsrichtlinie, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
Fehlermeldung mit einem Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a session policy: arn:aws:iam::123456789012:policy/DeveloperSessionPolicy
```
Fehlermeldung ohne Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a session policy
```
### Zugriff aufgrund ressourcenbasierter Richtlinien verweigert – implizite Ablehnung
1. Überprüfen Sie, ob in Ihrer ressourcenbasierten Richtlinie eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `secretsmanager:GetSecretValue`.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
because no resource-based policy allows the secretsmanager:GetSecretValue action
```
### Zugriff aufgrund ressourcenbasierter Richtlinien verweigert – explizite Ablehnung
1. Suchen Sie nach einer expliziten `Deny`-Anweisung für die Aktion in Ihrer ressourcenbasierten Richtlinie. Für das folgende Beispiel lautet die Aktion `secretsmanager:GetSecretValue`.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource-based policy
```
### Zugriff aufgrund von Rollenvertrauensrichtlinien verweigert – implizite Verweigerung
1. Überprüfen Sie, ob in Ihrer Rollenvertrauensrichtlinien eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `sts:AssumeRole`.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sts:AssumeRole
because no role trust policy allows the sts:AssumeRole action
```
### Zugriff aufgrund von Rollenvertrauensrichtlinien verweigert – explizite Ablehnung
1. Überprüfen Sie, ob in Ihrer Rollenvertrauensrichtlinie eine explizite `Deny`-Anweisung für die Aktion enthalten ist. Für das folgende Beispiel lautet die Aktion `sts:AssumeRole`.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sts:AssumeRole
with an explicit deny in the role trust policy
```
### Zugriff aufgrund identitätsbasierter Richtlinien verweigert – implizite Verweigerung
1. Überprüfen Sie ob in identitätsbasierten Richtlinien, die der Identität angefügt sind, eine `Allow`-Anweisung für die Aktion fehlt. Im folgenden Beispiel ist die Aktion `codecommit:ListRepositories` der Rolle `HR` zugeordnet.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Identitätsbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codecommit:ListRepositories
because no identity-based policy allows the codecommit:ListRepositories action
```
### Zugriff aufgrund identitätsbasierter Richtlinien verweigert – explizite Ablehnung
1. Wenn in der Fehlermeldung ein Richtlinien-ARN angegeben wird, suchen Sie in der angegebenen Richtlinie nach einer `Deny` Anweisung für die Aktion. Im folgenden Beispiel lautet die Aktion`codedeploy:ListDeployments`.
1. Wenn in der Fehlermeldung kein Richtlinien-ARN angegeben ist, suchen Sie in identitätsbasierten Richtlinien, die mit der Identität verknüpft sind, nach einer `Deny` Erklärung für die Aktion.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie unter [Identitätsbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
Fehlermeldung mit einem Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in an identity-based policy: arn:aws:iam::123456789012:policy/HRAccessPolicy
```
Fehlermeldung ohne Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in an identity-based policy
```