# Solucionar problemas de mensagens de erro de acesso negado
<a name="troubleshoot_access-denied"></a>

As informações a seguir podem ajudar você a identificar, diagnosticar e resolver erros de acesso negado com o AWS Identity and Access Management. Erros de acesso negado são exibidos quando a AWS nega explícita ou implicitamente uma solicitação de autorização.
+ Uma *negação explícita* ocorre quando uma política contém uma instrução `Deny` para a ação específica da AWS.
+ Uma *negação implícita* ocorre quando não há nenhuma instrução `Deny` aplicável e também nenhuma instrução `Allow` aplicável. Como uma política do IAM nega uma entidade principal do IAM por padrão, a política deve permitir explicitamente que a entidade principal realize uma ação. Caso contrário, a política nega acesso implicitamente. Para obter mais informações, consulte [A diferença entre negações explícitas e implícitas](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md).

Quando você faz uma solicitação a um serviço ou recurso, várias políticas podem ser aplicadas à solicitação. Revise todas as políticas aplicáveis, além da política especificada na mensagem de erro.
+ Se várias políticas do mesmo tipo negarem uma solicitação, a mensagem de erro de acesso negado não especificará o número de políticas avaliadas.
+ Se vários tipos de políticas negarem uma solicitação de autorização, a AWS só especificará uma dessas políticas na mensagem de erro de acesso negado.

**Importante**  
**Está com problemas para fazer login na AWS?** Certifique-se de estar na [página de login da AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) correta para o seu tipo de usuário. Se você for o Usuário raiz da conta da AWS (proprietário da conta), poderá fazer login na AWS usando as credenciais que configurou ao criar a Conta da AWS. Se você for um usuário do IAM, o administrador da sua conta poderá lhe fornecer credenciais de login da AWS. Se você precisar solicitar suporte, não use o link de feedback nesta página. O formulário será recebido pela equipe de documentação da AWS, não do Suporte. Em vez disso, na página [Entre em contato conosco](https://aws.amazon.com/contact-us/), escolha **Ainda não consegue fazer login em sua conta da AWS** e escolha uma das opções de suporte disponíveis.

## Eu recebo a mensagem de “acesso negado” quando faço uma solicitação a um serviço da AWS
<a name="troubleshoot_general_access-denied-service"></a>
+ Verifique se a mensagem de erro inclui o tipo e o [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) da política responsável por negar o acesso. Se for esse o caso, verifique se há instruções de negação para a ação na política especificada. Se o tipo de política for fornecido, mas não houver um ARN de política, concentre-se nas questões de soluções de problemas desse tipo de política: verifique se há instruções de negação para a ação nas políticas do tipo especificado. Se a mensagem de erro não mencionar o tipo de política responsável por negar o acesso, use o restante das diretrizes desta seção para solucionar problemas adicionais.
+ Verifique se você tem permissão de política baseada em identidade para chamar a ação e o recurso que solicitou. Se condições forem definidas, você também deverá cumpri-las ao enviar a solicitação. Para obter informações sobre como visualizar ou modificar políticas para um usuário, grupo ou função do IAM, consulte [Gerenciar políticas do IAM](access_policies_manage.md).
+ Se o Console de gerenciamento da AWS retornar uma mensagem informando que você não está autorizado a executar uma ação, entre em contato com o administrador para obter assistência. Seu administrador forneceu a você suas credenciais de login ou link de login.

  O erro de exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um recurso de `my-example-widget` fictício, mas não tem as permissões de `widgets:GetWidget` fictícias.

  ```
  User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: widgets:GetWidget on resource: my-example-widget
  ```

  Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir o acesso ao recurso `my-example-widget` usando a ação `widgets:GetWidget`.
+ Você está tentando acessar um serviço que oferece suporte a [políticas baseadas em recurso](access_policies_identity-vs-resource.md), como o Amazon S3, Amazon SNS ou Amazon SQS? Nesse caso, verifique se a política especifica você como uma entidade principal e lhe concede acesso. Se você fizer uma solicitação para um serviço na sua conta, as políticas baseadas em identidade ou as políticas baseadas em recurso poderão conceder permissão. Se você fizer uma solicitação para um serviço em uma conta diferente, tanto as políticas baseadas em identidade quanto as políticas baseadas em recurso deverão conceder permissão. Para visualizar os serviços que são compatíveis com políticas baseadas em recursos, consulte [AWSServiços da que funcionam com o IAM](reference_aws-services-that-work-with-iam.md).
+ Se sua política incluir uma condição com um par de chave-valor, revise-a com atenção. Os exemplos incluem a chave de condição global [`aws:RequestTag/tag-key`](reference_policies_condition-keys.md), a [kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context](kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context) do AWS KMS e a chave de condição `ResourceTag/tag-key` compatível com vários serviços. Certifique-se de que o nome da chave não corresponda a vários resultados. Como os nomes das chaves da condição não diferenciam maiúsculas de minúsculas, uma condição que verifica uma chave chamada `foo` corresponderá a `foo`, `Foo` ou `FOO`. Se sua solicitação inclui vários pares de chave-valor com nomes de chaves apenas com a capitalização diferente, o acesso pode ser inesperadamente negado. Para obter mais informações, consulte [Elementos de política JSON do IAM: Condition](reference_policies_elements_condition.md).
+ Se você tiver um [limite de permissões](access_policies_boundaries.md), verifique se a política usada para o limite de permissões permite sua solicitação. Se suas políticas baseadas em identidade permitirem a solicitação, mas seu limite de permissões não permitir, a solicitação será negada. Um limite de permissões controla o número máximo de permissões que uma entidade principal do IAM (usuário ou perfil) pode ter. As políticas baseadas em recurso não são limitadas pelos limites de permissões. Os limites de permissões não são comuns. Para obter mais informações sobre como a AWS avalia políticas, consulte [Lógica da avaliação de política](reference_policies_evaluation-logic.md).
+ Se você assinar solicitações manualmente (sem usar os [AWS SDKs](https://aws.amazon.com/developer/tools/)), verifique se você [assinou a solicitação](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html) corretamente.
+ Se você estiver usando uma [política de endpoint da Amazon VPC](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html) e receber um erro de acesso negado que não esteja registrado em log no AWS CloudTrail, talvez a conta do proprietário do endpoint da VPC seja diferente da conta da chamada ou da conta do perfil de destino.

## Eu recebo uma mensagem de "acesso negado" quando faço uma solicitação com credenciais de segurança temporárias
<a name="troubleshoot_general_access-denied-temp-creds"></a>
+ Primeiro, certifique-se de que não lhe foi negado acesso por um motivo que não esteja relacionado às suas credenciais temporárias. Para obter mais informações, consulte [Eu recebo a mensagem de “acesso negado” quando faço uma solicitação a um serviço da AWS](#troubleshoot_general_access-denied-service).
+ Para verificar se o serviço aceita credenciais de segurança temporárias, consulte [AWSServiços da que funcionam com o IAM](reference_aws-services-that-work-with-iam.md).
+ Verifique se suas solicitações estão sendo assinadas corretamente e se a solicitação é bem formada. Para obter mais detalhes, consulte a documentação do [toolkit](https://aws.amazon.com/developer/tools/) ou [Usar credenciais temporárias com recursos da AWS](id_credentials_temp_use-resources.md).
+ Verifique se suas credenciais de segurança temporárias não expiraram. Para obter mais informações, consulte [Credenciais de segurança temporárias no IAM](id_credentials_temp.md). 
+ Verifique se o usuário ou a função do IAM tem as permissões corretas. As permissões para credenciais de segurança temporárias são derivadas de um usuário ou uma função do IAM. Como resultado, as permissões são limitadas àquelas que são concedidas à função cujas credenciais temporárias são assumidas. Para obter mais informações sobre como permissões para credenciais de segurança temporárias são determinadas, consulte [Permissões de credenciais de segurança temporárias](id_credentials_temp_control-access.md).
+ Se você tiver assumido uma função, a sessão da função pode estar limitada por políticas de sessão. Quando [solicita credenciais de segurança temporárias](id_credentials_temp_request.md) de forma programática usando o AWS STS, você pode opcionalmente passar [políticas de sessão](access_policies.md#policies_session) em linha ou gerenciadas. As políticas de sessão são políticas avançadas que você passa como um parâmetro ao criar uma sessão de credenciais temporárias de forma programática para uma função. É possível passar um único documento de política JSON de sessão em linha usando o parâmetro `Policy`. É possível usar o parâmetro `PolicyArns` para especificar até 10 políticas de sessão gerenciadas. As permissões da sessão resultante são a interseção das políticas baseadas em identidade da função e das políticas de sessão. Como alternativa, se o administrador ou um programa personalizado fornecer credenciais temporárias a você, ele poderá incluir uma política de sessão para limitar seu acesso.
+ Se você for uma entidade principal de usuário federado do AWS STS, a sessão poderá ser limitada pelas políticas de sessão. Você cria uma sessão de usuário federado fazendo login na AWS como um usuário do IAM e, em seguida, solicitando um token de federação. Para obter mais informações, consulte [Solicitar credenciais por meio de um intermediador de identidades personalizado](id_credentials_temp_request.md#api_getfederationtoken). Se você ou seu agente de identidade tiver passado políticas de sessão ao solicitar um token de federação, a sessão será limitada por essas políticas. As permissões da sessão resultantes são a interseção de suas políticas baseadas em identidade do usuário do IAM e as políticas de sessão. Para obter mais informações sobre políticas de sessão, consulte [Políticas de sessão](access_policies.md#policies_session).
+ Se você estiver acessando um recurso que tenha uma política baseada em recursos usando uma função, verifique se a política concede permissões à função. Por exemplo, a política a seguir permite que `MyRole` da conta `111122223333` acesse `amzn-s3-demo-bucket`.

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
      "Sid": "S3BucketPolicy",
      "Effect": "Allow",
      "Principal": {"AWS": ["arn:aws:iam::111122223333:role/MyRole"]},
      "Action": ["s3:PutObject"],
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
    }]
  }
  ```

------

## Solucionador de problemas de acesso
<a name="access-troubleshooter"></a>

**nota**  
O Solucionador de problemas de acesso está se tornando gradualmente disponível para todos os serviços da AWS em todas as regiões para cenários de conta única e organização única. A qualidade dos dados evoluirá.

É possível usar o Solucionador de problemas de acesso para depurar e resolver erros de acesso negado.

O Solucionador de problemas de acesso oferece os seguintes recursos:
+ [Visualizar os detalhes da solicitação e da avaliação](#access-troubleshooter-request-details): a entidade principal, a ação, o recurso, o contexto e o resultado da avaliação.
+ [Visualizar avaliação de autorização individual](#access-troubleshooter-individual-evaluation): avaliações de autorização para ações individuais e pares de recursos.
+ [Revise todas as políticas e suas instruções individuais](#access-troubleshooter-policy-statements): todas as políticas avaliadas e suas instruções individuais, com resultados de avaliação para cada uma.

### Permissões para o Solucionador de problemas de acesso
<a name="access-troubleshooter-permissions"></a>

Para usar o Solucionador de problemas de acesso, é necessário ter a permissão `iam:TroubleshootAccess` anexada à sua entidade principal. Permitir essa ação significa que você está permitindo que a entidade principal visualize todos os detalhes do contexto de autorização, incluindo as chaves de contexto e as instruções de todas as políticas que foram avaliadas.

A seguinte política de exemplo concede a permissão necessária:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:TroubleshootAccess",
            "Resource": "*"
        }
    ]
}
```

### Como usar o Solucionador de problemas de acesso
<a name="access-troubleshooter-using"></a>

Quando você recebe um erro de acesso negado, a mensagem de erro inclui um link e um AuthorizationID que você pode usar com o Solucionador de problemas de acesso. O exemplo a seguir mostra uma mensagem de erro de acesso negado:

```
An error occurred (AccessDenied) when calling the RestoreTableFromBackup operation: User: arn:aws:sts:012345678901:assumedRole/DatabaseDev/RestoreBackupSession is not authorized to perform: dynamodb:RestoreTableFromBackup with an explicit deny in an identity policy. Go to https://console.aws.amazon.com/iam/home#/access-troubleshooter for complete details, or call the iam:GetAuthorizationDetails API with the following authorization id: 67f1576b-af29-4c66-9b2b-10fd67516713
```

Com a permissão apropriada, é possível escolher **Solucionar problemas no IAM** para abrir uma nova guia do Solucionador de problemas de acesso.

Como alternativa, é possível chamar a API `iam:GetAuthorizationDetails` usando o AuthorizationID:

```
aws iam get-authorization-details --authorization-id 67f1576b-af29-4c66-9b2b-10fd67516713
```

Se você for um administrador e um desenvolvedor fornecer o AuthorizationID, acesse o console do IAM e insira o AuthorizationID para recuperar os detalhes do contexto de autorização.

### Visualizar os detalhes da solicitação e da avaliação
<a name="access-troubleshooter-request-details"></a>

O Solucionador de problemas de acesso fornece os detalhes da sua solicitação que foram considerados na avaliação. É possível analisar a operação ou a chamada de API que você tentou, o ID de autorização, a entidade principal que fez a chamada, o recurso que você tentou acessar e o resultado da avaliação.

### Visualizar avaliação de autorização individual
<a name="access-troubleshooter-individual-evaluation"></a>

Para chamar uma operação com êxito, permissões adicionais para realizar ações dependentes podem ser necessárias. Por exemplo, para executar `RestoreTableFromBackup` no DynamoDB, permissões para `dynamodb:BatchWriteItem`, `dynamodb:DeleteItem`, `dynamodb:GetItem`, `dynamodb:PutItem`, `dynamodb:Query`, `dynamodb:Scan` e `dynamodb:UpdateItem` são necessárias. Essas ações são avaliadas em relação aos recursos que você deseja acessar. Para obter mais informações, consulte a [Referência de autorização do serviço](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html).

### Revise todas as políticas e suas instruções individuais
<a name="access-troubleshooter-policy-statements"></a>

Em muitos casos, várias políticas afetam sua autorização, e cada política pode conter várias instruções. O Solucionador de problemas de acesso lista todas as políticas que são avaliadas quando você executa sua operação. É possível revisar as instruções individuais dentro dessas políticas e o resultado da avaliação de cada uma, o que oferece uma visão completa para ajudar você a resolver problemas com eficiência.

## Exemplos de mensagens de acesso negado
<a name="access-denied-error-examples"></a>

A maioria das mensagens de erro de acesso negado está no formato `User user is not authorized to perform action on resource because context`. Neste exemplo, o *user* é o ARN da entidade principal que não recebe acesso, *action* é a ação de serviço que a política nega e *resource* é o ARN do recurso em que a política atua. O campo *context* fornece contexto adicional sobre o tipo de política que negou o acesso. Em alguns casos, ele também contém o ARN da política que negou o acesso.

Quando uma política nega explicitamente o acesso porque ela contém uma instrução `Deny`, a AWS inclui a frase `with an explicit deny in a type policy` na mensagem de acesso negado. Essa frase também pode especificar o ARN da política, do seguinte modo: `with an explicit deny in a type policy: policy ARN`.

Quando a política nega acesso implicitamente, a AWS inclui `because no type policy allows the action action` na mensagem de erro de acesso negado.

**nota**  
Alguns serviços da AWS não são compatíveis com esse formato de mensagem de erro de acesso negado. O conteúdo das mensagens de erro de acesso negado pode variar conforme o serviço que está fazendo a solicitação de autorização.

Os exemplos a seguir mostram o formato para diferentes tipos de mensagens de acesso negado.

### Acesso negado devido a uma política de controle de serviço: negação implícita
<a name="access-denied-scp-examples-implicit"></a>

1. Verifique se falta uma instrução `Allow` para a ação em suas políticas de controle de serviços (SCPs). No exemplo a seguir, a ação é `codecommit:ListRepositories`.

1. Atualize a SCP adicionando a instrução `Allow`. Para obter mais informações, consulte [Atualizar uma SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy) no *Guia do usuário do AWS Organizations*.

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no service control policy allows the codecommit:ListRespositories action
```

### Acesso negado devido a uma política de controle de serviço: negação explícita
<a name="access-denied-scp-examples-explicit"></a>

1. Se um ARN de política for fornecido na mensagem de erro, verifique se há uma instrução `Deny` para a ação na política de controle de serviços (SCP) especificada. No exemplo abaixo, a ação é `codecommit:ListRepositories`.

1. Se nenhum ARN de política for fornecido na mensagem de erro, verifique se há uma instrução `Deny` para a ação em suas SCPs.

1. Atualize a SCP removendo a instrução `Deny`. Para obter mais informações, consulte [Atualização de uma política de controle de serviços (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy) no *Guia do usuário do AWS Organizations*.

Mensagem de erro com um ARN de política:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
with an explicit deny in a service control policy: arn:aws:organizations::777788889999:policy/o-exampleorgid/service_control_policy/p-examplepolicyid123
```

Mensagem de erro sem um ARN de política:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
with an explicit deny in a service control policy
```

### Acesso negado devido a uma política de controle de recurso: negação explícita
<a name="access-denied-rcp-examples-explicit"></a>

1. Se um ARN de política for fornecido na mensagem de erro, verifique se há uma instrução `Deny` para a ação na política de controle de recursos (RCP) especificada. No exemplo abaixo, a ação é `secretsmanager:GetSecretValue`.

1. Se nenhum ARN de política for fornecido na mensagem de erro, verifique se há uma instrução `Deny` para a ação em suas RCPs.

1. Atualize sua RCP removendo a instrução `Deny`. Para obter mais informações, consulte [Atualizar uma política de controle de recursos (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy-rcp) no *Guia do usuário do AWS Organizations*.

Mensagem de erro com um ARN de política:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource control policy: arn:aws:organizations::777788889999:policy/o-exampleorgid/resource_control_policy/p-examplepolicyid456
```

Mensagem de erro sem um ARN de política:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource control policy
```

### Acesso negado devido a uma política de endpoint da VPC: negação implícita
<a name="access-denied-vpc-endpoint-examples-implicit.title"></a>

1. Verifique se falta uma instrução `Allow` para a ação em suas políticas de endpoint da nuvem privada virtual (VPC). No exemplo a seguir, a ação é `codecommit:ListRepositories`.

1. Atualize sua política de endpoint da VPC adicionando a instrução `Allow`. Para obter mais informações, consulte [Atualizar uma política de endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) no *Guia do AWS PrivateLink*.

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no VPC endpoint policy allows the codecommit:ListRepositories action
```

### Acesso negado devido a uma política de endpoint da VPC: negação explícita
<a name="access-denied-vpc-endpoint-examples-explicit.title"></a>

1. Verifique se há uma instrução `Deny` explícita para a ação em suas políticas de endpoint da nuvem privada virtual (VPC). No exemplo a seguir, a ação é `codedeploy:ListDeployments`.

1. Atualize sua política de endpoint da VPC removendo a instrução `Deny`. Para obter mais informações, consulte [Atualizar uma política de endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) no *Guia do AWS PrivateLink*.

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a VPC endpoint policy
```

### Acesso negado devido a um limite de permissões: negação implícita
<a name="access-denied-permissions-boundary-examples-implicit"></a>

1. Verifique se falta uma instrução `Allow` para a ação em seu limite de permissões. No exemplo a seguir, a ação é `codedeploy:ListDeployments`.

1. Atualize seu limite de permissões adicionando a instrução `Allow` à política do IAM. Para obter mais informações, consulte [Limites de permissões para entidades do IAM](access_policies_boundaries.md) e [Editar políticas do IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
because no permissions boundary allows the codedeploy:ListDeployments action
```

### Acesso negado devido a um limite de permissões: negação explícita
<a name="access-denied-permissions-boundary-examples-explicit"></a>

1. Se um ARN de política for fornecido na mensagem de erro, verifique se há uma instrução `Deny` para a ação no limite de permissões especificado. No exemplo abaixo, a ação é `sagemaker:ListModels`.

1. Se nenhum ARN de política for fornecido na mensagem de erro, verifique se há uma instrução `Deny` para a ação no limite de permissões anexado à entidade principal. 

1. Atualize seu limite de permissões removendo a instrução `Deny` da política do IAM. Para obter mais informações, consulte [Limites de permissões para entidades do IAM](access_policies_boundaries.md) e [Editar políticas do IAM](access_policies_manage-edit.md).

Mensagem de erro com um ARN de política:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sagemaker:ListModels
with an explicit deny in a permissions boundary: arn:aws:iam::123456789012:policy/DeveloperPermissionBoundary
```

Mensagem de erro sem um ARN de política:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sagemaker:ListModels
with an explicit deny in a permissions boundary
```

### Acesso negado devido às políticas de sessão: negação implícita
<a name="access-denied-session-policy-examples-implicit"></a>

1. Verifique se falta uma instrução `Allow` para a ação em suas políticas de sessão. No exemplo a seguir, a ação é `codecommit:ListRepositories`.

1. Atualize a política de sessão adicionando a instrução `Allow`. Para obter mais informações, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) e [Editar políticas do IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no session policy allows the codecommit:ListRepositories action
```

### Acesso negado devido às políticas de sessão: negação explícita
<a name="access-denied-session-policy-examples-explicit"></a>

1. Se um ARN de política for fornecido na mensagem de erro, verifique se há uma instrução `Deny` para a ação na política de sessão especificada. No exemplo abaixo, a ação é `codedeploy:ListDeployments`.

1. Se nenhum ARN de política for fornecido na mensagem de erro, verifique se há uma instrução `Deny` para a ação em suas políticas de sessão.

1. Atualize a política de sessão removendo a instrução `Deny`. Para obter mais informações, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) e [Editar políticas do IAM](access_policies_manage-edit.md).

Mensagem de erro com um ARN de política:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a session policy: arn:aws:iam::123456789012:policy/DeveloperSessionPolicy
```

Mensagem de erro sem um ARN de política:

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a session policy
```

### Acesso negado devido às políticas baseadas em recursos: negação implícita
<a name="access-denied-resource-based-policy-examples-implicit"></a>

1. Verifique se falta uma instrução `Allow` para a ação em sua política baseada em recursos. No exemplo a seguir, a ação é `secretsmanager:GetSecretValue`.

1. Atualize a política adicionando a instrução `Allow`. Para obter mais informações, consulte [Políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) e [Editar políticas do IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
because no resource-based policy allows the secretsmanager:GetSecretValue action
```

### Acesso negado devido às políticas baseadas em recursos: negação explícita
<a name="access-denied-resource-based-policy-examples-explicit"></a>

1. Verifique se há uma instrução `Deny` explícita para a ação em sua política baseada em recursos. No exemplo a seguir, a ação é `secretsmanager:GetSecretValue`.

1. Atualize a política removendo a instrução `Deny`. Para obter mais informações, consulte [Políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) e [Editar políticas do IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource-based policy
```

### Acesso negado devido às políticas de confiança de perfil: negação implícita
<a name="access-denied-role-trust-policy-examples-implicit"></a>

1. Verifique se falta uma instrução `Allow` para a ação em sua política de confiança de perfil. No exemplo a seguir, a ação é `sts:AssumeRole`.

1. Atualize a política adicionando a instrução `Allow`. Para obter mais informações, consulte [Políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) e [Editar políticas do IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sts:AssumeRole
because no role trust policy allows the sts:AssumeRole action
```

### Acesso negado devido às políticas de confiança de perfil: negação explícita
<a name="access-denied-role-trust-policy-examples-explicit"></a>

1. Verifique se há uma instrução `Deny` explícita para a ação em sua política de confiança de perfil. No exemplo a seguir, a ação é `sts:AssumeRole`.

1. Atualize a política removendo a instrução `Deny`. Para obter mais informações, consulte [Políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) e [Editar políticas do IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sts:AssumeRole
with an explicit deny in the role trust policy
```

### Acesso negado devido a políticas baseadas em identidade: negação implícita
<a name="access-denied-identity-based-policy-examples-implicit"></a>

1. Verifique se falta uma instrução `Allow` para a ação em políticas baseadas em identidade anexadas à identidade. No exemplo a seguir, a ação é `codecommit:ListRepositories` anexada ao perfil `HR`.

1. Atualize a política adicionando a instrução `Allow`. Para obter mais informações, consulte [Políticas baseadas em identidade](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) e [Editar políticas do IAM](access_policies_manage-edit.md).

```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codecommit:ListRepositories
because no identity-based policy allows the codecommit:ListRepositories action
```

### Acesso negado devido às políticas baseadas em identidade: negação explícita
<a name="access-denied-identity-based-policy-examples-explicit"></a>

1. Se um ARN de política for fornecido na mensagem de erro, verifique se há uma instrução `Deny` para a ação na política especificada. No exemplo abaixo, a ação é `codedeploy:ListDeployments`.

1. Se nenhum ARN de política for fornecido na mensagem de erro, verifique se há uma instrução `Deny` para a ação em políticas baseadas em identidade anexadas à identidade. 

1. Atualize a política removendo a instrução `Deny`. Para obter mais informações, consulte [Políticas baseadas em identidade](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) e [Editar políticas do IAM](access_policies_manage-edit.md).

Mensagem de erro com um ARN de política:

```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in an identity-based policy: arn:aws:iam::123456789012:policy/HRAccessPolicy
```

Mensagem de erro sem um ARN de política:

```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in an identity-based policy
```