Error: "AccessDeniedException"
Escenario
Obtiene una excepción de acceso denegado al intentar compartir un recurso o ver un recurso compartido.
Causa
Puede obtener este error si intenta crear un recurso compartido cuando sin disponer de los permisos necesarios. Esto puede deberse a que no se otorgan permisos suficientes en las políticas adjuntadas a su entidad principal de AWS Identity and Access Management (IAM). También puede deberse a las restricciones impuestas por una política de control de servicio (SCP) de AWS Organizations que afecte a su Cuenta de AWS.
Solución
Para proporcionar acceso, añada permisos a sus usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center.
-
Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
-
Usuarios de IAM:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
-
(No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.
-
Para resolver el error, debe asegurarse de que los permisos se concedan mediante instrucciones Allow en la política de permisos utilizada por la entidad principal que realiza la solicitud. Además, las SCP de su organización no deben bloquear los permisos.
Para crear un recurso compartido, necesita los dos permisos siguientes:
-
ram:CreateResourceShare
-
ram:AssociateResourceShare
Para ver un recurso compartido, necesita el siguiente permiso:
-
ram:GetResourceShares
Para adjuntar permisos a un recurso compartido, necesita el siguiente permiso:
-
resourceOwningService:PutPolicyActionEsto es un marcador de posición. Debe reemplazarlo por el permiso "PutPolicy" (o equivalente) para el servicio propietario del recurso que desea compartir. Por ejemplo, si desea compartir una regla de solucionador de Route 53, el permiso necesario sería:
route53resolver:PutResolverRulePolicy. Si desea permitir la creación de un recurso compartido que contenga varios tipos de recursos, debe incluir el permiso correspondiente para cada tipo de recurso que desea permitir.
En el siguiente ejemplo se muestra el aspecto que tendría una política de permisos de IAM de este tipo.
