本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 對拒絕存取錯誤訊息進行疑難排解
<a name="troubleshoot_access-denied"></a>

以下資訊可協助您識別、診斷和解決存取遭拒的錯誤 AWS Identity and Access Management。當 AWS 明確或隱含拒絕授權請求時，會出現存取遭拒錯誤。
+ 當政策包含特定 AWS 動作的`Deny`陳述式時，會發生*明確拒絕*。
+ 如果沒有適用的 `Deny` 陳述式，也沒有適用的 `Allow` 陳述式，則會發生*隱含拒絕*。由於 IAM 政策預設會拒絕 IAM 主體，因此該政策必須明確允許主體執行動作。否則，政策會隱含拒絕存取。如需詳細資訊，請參閱[明確和隱含拒絕之間的差異](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md)。

向服務或資源提出請求時，多個政策可能適用於該請求。除了錯誤訊息中指定的政策之外，請檢閱所有適用政策。
+ 如果相同政策類型的多個政策拒絕請求，則拒絕存取錯誤訊息不會指定政策數目。
+ 如果多個政策類型拒絕授權請求，則 只會在錯誤訊息中 AWS 包含其中一個政策類型。

**重要**  
**無法登入 AWS？** 請確定您位在使用者類型的正確 [AWS 登入頁面](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)。如果您是 AWS 帳戶根使用者 （帳戶擁有者），您可以使用您在建立 時設定的 AWS 登入資料登入 AWS 帳戶。如果您是 IAM 使用者，帳戶管理員可為您提供 AWS 登入憑證。如果需要請求支援，請勿使用此頁面中的意見回饋連結。 AWS 文件團隊不會收到表單 支援。相反地，在[聯絡我們](https://aws.amazon.com/contact-us/)頁面上，選擇**仍然無法登入 AWS 您的帳戶**，然後選擇其中一個可用的支援選項。

## 向 AWS 服務提出請求時，我收到「存取遭拒」
<a name="troubleshoot_general_access-denied-service"></a>
+ 檢查錯誤訊息是否包含負責拒絕存取的政策類型和 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)。如果是這種情況，請檢查指定政策中動作的拒絕陳述式。如果提供了政策類型，但沒有政策 ARN，則專注於該政策類型的疑難排解問題：檢查指定類型政策中動作的拒絕陳述式。如果錯誤訊息未提及發出拒絕存取的政策類型，請使用本節中的其餘指導方針進一步疑難排解。
+ 確任您擁有呼叫所請求之動作和資源的以身分為基礎的政策許可。如果設定了任何條件，還必須在送出請求時滿足這些條件。有關查看或修改用於 IAM 使用者、群組或角色的政策的資訊，請參閱 [管理 IAM 政策](access_policies_manage.md)。
+ 如果 AWS 管理主控台 傳回訊息，指出您無權執行 動作，則您必須聯絡管理員尋求協助。您的管理員提供您的登入憑證或登入連結。

  以下範例錯誤的發生情境是 `mateojackson` IAM 使用者嘗試使用主控台檢視虛構 `my-example-widget` 資源的詳細資訊，但卻沒有虛構 `widgets:GetWidget` 許可。

  ```
  User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: widgets:GetWidget on resource: my-example-widget
  ```

  在此情況下，Mateo 必須請求管理員更新他的政策，允許他使用 `widgets:GetWidget` 動作存取 `my-example-widget` 資源。
+ 您是否試著存取支援[以資源為基礎的政策](access_policies_identity-vs-resource.md)的服務，例如 Amazon S3，Amazon SNS 或 Amazon SQS？ 若是如此，確認政策將您指定為主體，並授與您存取權。如果您要對在您的帳戶中的服務發出請求，則您的以身分為基礎的政策或以資源為基礎的政策中之一可為您授與許可。如果您要對不同帳戶中的服務發出請求，則您的以身分為基礎的政策或以資源為基礎的政策都必須為您授與許可。若要檢視支援以資源為基礎的政策之服務，請參閱 [AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)。
+ 如果您的政策包含搭配金鑰值組的條件，請仔細地檢閱該條件。範例包括[`aws:RequestTag/tag-key`](reference_policies_condition-keys.md)全域條件金鑰、 AWS KMS [kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context](kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context)和多個 服務支援`ResourceTag/tag-key`的條件金鑰。確定金鑰名稱不符合多個結果。由於條件金鑰名稱不區分大小寫，條件會檢查符合 `foo`、`Foo` 或 `FOO` 且名為 `foo` 的金鑰。如果您的請求包含多個鍵值組，且其中有鍵名稱只有大小寫不同，則您的存取可能會意外遭拒。如需更多詳細資訊，請參閱 [IAM JSON 政策元素：Condition](reference_policies_elements_condition.md)。
+ 如果您具有[許可界限](access_policies_boundaries.md)，請確認允許您的請求時之許可界限所使用的政策。如果您的以身分為基礎的政策允許該請求，但您的許可界限不允許，則請求會遭拒絕。許可界限會控制 IAM 主體 (使用者或角色) 可以擁有的許可上限。以資源為基礎的政策不會受到許可界限所限制。許可界限不常見。如需 如何 AWS 評估政策的詳細資訊，請參閱 [政策評估邏輯](reference_policies_evaluation-logic.md)。
+ 如果您是手動簽署請求 (而未使用 [AWS 開發套件](https://aws.amazon.com/developer/tools/))，請確認您已正確地[簽署請求](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html)。
+ 如果您使用 [Amazon VPC 端點政策](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html)，且收到未記錄在 AWS CloudTrail中的存取遭拒錯誤，這可能是因為 VPC 端點擁有者帳戶與呼叫帳戶或目標角色帳戶不同。

## 當我使用臨時安全憑證來發出請求時，出現「存取遭拒」
<a name="troubleshoot_general_access-denied-temp-creds"></a>
+ 首先，確定您不是因為與臨時憑證無關的原因而遭拒絕存取。如需更多詳細資訊，請參閱 [向 AWS 服務提出請求時，我收到「存取遭拒」](#troubleshoot_general_access-denied-service)。
+ 要確認服務是否接受臨時安全憑證，請參閱 [AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)。
+ 確認您的請求正確簽署且請求的格式也正確。如需詳細資訊，請參閱您的[工具組](https://aws.amazon.com/developer/tools/)文件或 [搭配 AWS 資源使用臨時登入資料](id_credentials_temp_use-resources.md)。
+ 確認您的臨時安全憑證並未過期。如需更多詳細資訊，請參閱 [IAM 中的暫時安全憑證](id_credentials_temp.md)。
+ 確認 IAM 使用者或角色擁有正確許可。臨時安全性憑證的許可衍生自 IAM 使用者或角色。因此，這些許可僅限於您所擔任臨時憑證之角色所獲得授與的許可。有關如何確定臨時安全憑證的許可的更多資訊，請參閱 [臨時安全憑證的許可](id_credentials_temp_control-access.md)。
+ 如果您擔任角色，您的角色工作階段可能受工作階段政策限制。當您使用 以程式設計方式[請求臨時安全登入](id_credentials_temp_request.md)資料時 AWS STS，您可以選擇傳遞內嵌或受管[工作階段政策](access_policies.md#policies_session)。工作階段政策是一種進階政策，且您會在以程式設計方式建立角色的暫時憑證工作階段時，以參數方式傳遞。您可以使用 `Policy` 參數傳遞單一 JSON 內嵌工作階段政策文件。您可以使用 `PolicyArns` 參數，指定多達 10 個受管工作階段政策。所產生工作階段的許可會是角色的以身分為基礎的政策和工作階段政策的交集。或者，如果您的管理員或自訂程式為您提供暫時憑證，他們可能已包含限制您存取的工作階段政策。
+ 如果您是 AWS STS 聯合身分使用者主體，您的工作階段可能會受到工作階段政策的限制。您以 IAM 使用者 AWS 身分登入 ，然後請求聯合身分字符，以建立聯合身分使用者工作階段。如需詳細資訊，請參閱[透過自訂身分經紀人請求憑證](id_credentials_temp_request.md#api_getfederationtoken)。如果您或身分經紀人在請求聯合權杖時傳遞工作階段政策，則您的工作階段會受這些政策限制。所產生工作階段的許可會是 IAM 使用者的以身分為基礎的政策和工作階段政策的交集。如需有關工作階段政策的詳細資訊，請參閱 [工作階段政策](access_policies.md#policies_session)。
+ 如果您使用角色存取具有以資源為基礎之政策的資源，則請確認政策已授與該角色許可。例如，以下政策允許 `MyRole` 從帳戶 `111122223333` 存取 `amzn-s3-demo-bucket`。

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
      "Sid": "S3BucketPolicy",
      "Effect": "Allow",
      "Principal": {"AWS": ["arn:aws:iam::111122223333:role/MyRole"]},
      "Action": ["s3:PutObject"],
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
    }]
  }
  ```

------

## 拒絕存取錯誤訊息範例
<a name="access-denied-error-examples"></a>

大多數拒絕存取錯誤訊息的格式為 `User user is not authorized to perform action on resource because context`。在此範例中，*使用者*是拒絕存取之主體的 ARN，*動作*是政策拒絕的服務動作，而*資源*是政策對其執行動作之資源的 ARN。*內容*欄位提供有關拒絕存取的政策類型的其他內容。在某些情況下，它還包含拒絕存取的政策的 ARN。

當政策因為政策包含`Deny`陳述式而明確拒絕存取時， 會在拒絕存取錯誤訊息`with an explicit deny in a type policy`中 AWS 包含該片語。此片語也可以指定政策的 ARN，如下所示：`with an explicit deny in a type policy: policy ARN`。

當政策隱含拒絕存取時， 會在拒絕存取錯誤訊息`because no type policy allows the action action`中 AWS 包含 片語。

**注意**  
有些 AWS 服務不支援此存取遭拒錯誤訊息格式。存取遭拒錯誤訊息的內容可能會因提出授權請求的服務而有所不同。

以下範例顯示不同類型的拒絕存取錯誤訊息的格式。

### 因服務控制政策而拒絕存取 – 隱含拒絕
<a name="access-denied-scp-examples-implicit"></a>

1. 在服務控制政策 (SCP) 中檢查該動作是否有缺少的 `Allow` 陳述式。對於下列範例，動作是 `codecommit:ListRepositories`。

1. 透過新增 `Allow` 陳述式來更新您的 SCP。如需詳細資訊，請參閱《AWS Organizations 使用者指南》**中的[更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy)。

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no service control policy allows the codecommit:ListRepositories action
```

### 因服務控制政策而拒絕存取 – 明確拒絕
<a name="access-denied-scp-examples-explicit"></a>

1. 如果錯誤訊息中提供政策 ARN，請檢查指定服務控制政策 (SCP) 中動作的`Deny`陳述式。在以下範例中，動作為 `codecommit:ListRepositories`。

1. 如果錯誤訊息中未提供任何政策 ARN，請檢查 SCPs 中動作的`Deny`陳述式。

1. 透過移除 `Deny` 陳述式來更新您的 SCP。如需詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[更新服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy)。

具有政策 ARN 的錯誤訊息：

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
with an explicit deny in a service control policy: arn:aws:organizations::777788889999:policy/o-exampleorgid/service_control_policy/p-examplepolicyid123
```

沒有政策 ARN 的錯誤訊息：

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
with an explicit deny in a service control policy
```

### 因資源控制政策而拒絕存取 – 明確拒絕
<a name="access-denied-rcp-examples-explicit"></a>

1. 如果錯誤訊息中提供政策 ARN，請檢查指定資源控制政策 (RCP) 中動作的`Deny`陳述式。在以下範例中，動作為 `secretsmanager:GetSecretValue`。

1. 如果錯誤訊息中未提供任何政策 ARN，請檢查 RCPs 中動作的`Deny`陳述式。

1. 透過移除 `Deny` 陳述式來更新您的 RCP。如需詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[更新資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy-rcp)。

具有政策 ARN 的錯誤訊息：

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource control policy: arn:aws:organizations::777788889999:policy/o-exampleorgid/resource_control_policy/p-examplepolicyid456
```

沒有政策 ARN 的錯誤訊息：

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource control policy
```

### 因 VPC 端點政策而拒絕存取 – 隱含拒絕
<a name="access-denied-vpc-endpoint-examples-implicit.title"></a>

1. 在您的虛擬私有雲端 (VPC) 端點政策中檢查該動作是否有遺失的 `Allow` 陳述式。對於下列範例，動作是 `codecommit:ListRepositories`。

1. 透過新增 `Allow` 陳述式來更新 VPC 端點政策。如需詳細資訊，請參閱《AWS PrivateLink 指南》**中的[更新 VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy)。

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no VPC endpoint policy allows the codecommit:ListRepositories action
```

### 因 VPC 端點政策而拒絕存取 – 明確拒絕
<a name="access-denied-vpc-endpoint-examples-explicit.title"></a>

1. 在您的虛擬私有雲端 (VPC) 端點政策中檢查該動作是否有明確的 `Deny` 陳述式。對於下列範例，動作是 `codedeploy:ListDeployments`。

1. 透過移除 `Deny` 陳述式來更新 VPC 端點政策。如需詳細資訊，請參閱《AWS PrivateLink 指南》**中的[更新 VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy)。

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a VPC endpoint policy
```

### 因許可界限而拒絕存取 – 隱含拒絕
<a name="access-denied-permissions-boundary-examples-implicit"></a>

1. 在許可界限中檢查該動作是否有遺失的 `Allow` 陳述式。對於下列範例，動作是 `codedeploy:ListDeployments`。

1. 透過將 `Allow` 陳述式新增至您的 IAM 政策來更新您的許可界限。如需詳細資訊，請參閱[IAM 實體的許可界限](access_policies_boundaries.md)及[編輯 IAM 政策](access_policies_manage-edit.md)。

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
because no permissions boundary allows the codedeploy:ListDeployments action
```

### 因許可界限而拒絕存取 – 明確拒絕
<a name="access-denied-permissions-boundary-examples-explicit"></a>

1. 如果錯誤訊息中提供政策 ARN，請檢查指定許可界限中動作的`Deny`陳述式。在以下範例中，動作為 `sagemaker:ListModels`。

1. 如果錯誤訊息中未提供任何政策 ARN，請檢查連接到主體的許可界限中是否有動作的`Deny`陳述式。

1. 透過從您的 IAM 政策中移除 `Deny` 陳述式來更新您的許可界限。如需詳細資訊，請參閱[IAM 實體的許可界限](access_policies_boundaries.md)及[編輯 IAM 政策](access_policies_manage-edit.md)。

具有政策 ARN 的錯誤訊息：

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sagemaker:ListModels
with an explicit deny in a permissions boundary: arn:aws:iam::123456789012:policy/DeveloperPermissionBoundary
```

沒有政策 ARN 的錯誤訊息：

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sagemaker:ListModels
with an explicit deny in a permissions boundary
```

### 因工作階段政策而拒絕存取 – 隱含拒絕
<a name="access-denied-session-policy-examples-implicit"></a>

1. 在工作階段政策中檢查該動作是否有遺失的 `Allow` 陳述式。對於下列範例，動作是 `codecommit:ListRepositories`。

1. 透過新增 `Allow` 陳述式來更新您的工作階段政策。如需詳細資訊，請參閱[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)和 [編輯 IAM 政策](access_policies_manage-edit.md)。

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no session policy allows the codecommit:ListRepositories action
```

### 因工作階段政策而拒絕存取 – 明確拒絕
<a name="access-denied-session-policy-examples-explicit"></a>

1. 如果錯誤訊息中提供政策 ARN，請檢查指定工作階段政策中動作的`Deny`陳述式。在以下範例中，動作為 `codedeploy:ListDeployments`。

1. 如果錯誤訊息中未提供任何政策 ARN，請檢查工作階段政策中動作的`Deny`陳述式。

1. 透過移除 `Deny` 陳述式來更新您的工作階段政策。如需詳細資訊，請參閱[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)和 [編輯 IAM 政策](access_policies_manage-edit.md)。

具有政策 ARN 的錯誤訊息：

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a session policy: arn:aws:iam::123456789012:policy/DeveloperSessionPolicy
```

沒有政策 ARN 的錯誤訊息：

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a session policy
```

### 因以資源為基礎的政策而拒絕存取 – 隱含拒絕
<a name="access-denied-resource-based-policy-examples-implicit"></a>

1. 在以資源為基礎的政策中檢查該動作是否有遺失的 `Allow` 陳述式。對於下列範例，動作是 `secretsmanager:GetSecretValue`。

1. 透過新增 `Allow` 陳述式來更新您的政策。如需詳細資訊，請參閱[以資源為基礎的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)和 [編輯 IAM 政策](access_policies_manage-edit.md)。

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
because no resource-based policy allows the secretsmanager:GetSecretValue action
```

### 因以資源為基礎的政策而拒絕存取 – 明確拒絕
<a name="access-denied-resource-based-policy-examples-explicit"></a>

1. 在以資源為基礎的政策中檢查該動作是否有明確的 `Deny` 陳述式。對於下列範例，動作是 `secretsmanager:GetSecretValue`。

1. 透過移除 `Deny` 陳述式來更新您的政策。如需詳細資訊，請參閱[以資源為基礎的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)和 [編輯 IAM 政策](access_policies_manage-edit.md)。

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource-based policy
```

### 因角色信任政策而拒絕存取 – 隱含拒絕
<a name="access-denied-role-trust-policy-examples-implicit"></a>

1. 在角色信任政策中檢查該動作是否有遺失的 `Allow` 陳述式。對於下列範例，動作是 `sts:AssumeRole`。

1. 透過新增 `Allow` 陳述式來更新您的政策。如需詳細資訊，請參閱[以資源為基礎的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)和 [編輯 IAM 政策](access_policies_manage-edit.md)。

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sts:AssumeRole
because no role trust policy allows the sts:AssumeRole action
```

### 因角色信任政策而拒絕存取 – 明確拒絕
<a name="access-denied-role-trust-policy-examples-explicit"></a>

1. 在角色信任政策中檢查該動作是否有明確的 `Deny` 陳述式。對於下列範例，動作是 `sts:AssumeRole`。

1. 透過移除 `Deny` 陳述式來更新您的政策。如需詳細資訊，請參閱[以資源為基礎的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)和 [編輯 IAM 政策](access_policies_manage-edit.md)。

```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sts:AssumeRole
with an explicit deny in the role trust policy
```

### 因以身分為基礎的政策而拒絕存取 – 隱含拒絕
<a name="access-denied-identity-based-policy-examples-implicit"></a>

1. 在連接至身分的以身分為基礎的政策中，檢查該動作是否有遺失的 `Allow` 陳述式。對於下列範例，動作是連接至角色 `HR` 的 `codecommit:ListRepositories`。

1. 透過新增 `Allow` 陳述式來更新您的政策。如需詳細資訊，請參閱[以身分為基礎的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based)和 [編輯 IAM 政策](access_policies_manage-edit.md)。

```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codecommit:ListRepositories
because no identity-based policy allows the codecommit:ListRepositories action
```

### 因以身分為基礎的政策而拒絕存取 – 明確拒絕
<a name="access-denied-identity-based-policy-examples-explicit"></a>

1. 如果錯誤訊息中提供政策 ARN，請檢查指定政策中動作的`Deny`陳述式。在以下範例中，動作為 `codedeploy:ListDeployments`。

1. 如果錯誤訊息中未提供任何政策 ARN，請檢查連接到身分的身分型政策中是否有 動作的`Deny`陳述式。

1. 透過移除 `Deny` 陳述式來更新您的政策。如需詳細資訊，請參閱[以身分為基礎的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based)和 [編輯 IAM 政策](access_policies_manage-edit.md)。

具有政策 ARN 的錯誤訊息：

```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in an identity-based policy: arn:aws:iam::123456789012:policy/HRAccessPolicy
```

沒有政策 ARN 的錯誤訊息：

```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in an identity-based policy
```