Résolution des problèmes généraux d'IAM

Utilisez les informations ici pour vous aider à diagnostiquer et résoudre les problèmes courants lorsque vous utilisez AWS Identity and Access Management (IAM).

Je ne peux pas me connecter à mon compte AWS

Vérifiez que vous disposez des informations d'identification correctes et que vous utilisez la bonne méthode pour vous connecter. Pour plus d'informations, consultez Résolution des problèmes de connexion dans le Guide de l'utilisateur Connexion à AWS.

J'ai perdu mes clés d'accès

Les clés d'accès se composent de deux parties :

• Identificateur de clé d'accès. Cet élément n'est pas secret et peut être affiché dans la console IAM partout où les clés d'accès sont répertoriées, comme sur la page de récapitulatif de l'utilisateur.

• Clé d'accès secrète. Cette partie est fournie lorsque vous créez initialement la paire de clés d'accès. Tout comme un mot de passe, elle ne peut pas être récupérée ultérieurement. Si vous perdez votre clé d'accès secrète, vous devez créer une nouvelle paire de clés d'accès. Si vous disposez déjà du nombre maximum de clés d'accès, vous devez supprimer une paire existante avant de pouvoir en créer une autre.

Pour de plus amples informations, veuillez consulter Réinitialisation de vos mots de passe ou clés d'accès perdus ou oubliés pour AWS.

Les variables de la politique ne fonctionnent pas

• Vérifiez que toutes les politiques incluant des variables contiennent le numéro de version suivant : "Version": "2012-10-17". Sans le numéro de version approprié, les variables ne sont pas remplacées lors de l'évaluation. Au contraire, les variables sont évaluées littéralement. Toutes les politiques n'incluant pas de variables continueront de fonctionner si vous incluez le numéro de version le plus récent.

  Un élément de politique Version est différent d'une version de politique. L'élément de politique Version est utilisé dans une politique pour définir la version de la langue de la politique. En revanche, une version de politique est créée lorsque vous apportez des modifications à une politique gérée par le client dans IAM. La politique modifiée ne remplace pas la politique existante. À la place, IAM crée une nouvelle version de la politique gérée. Pour en savoir plus sur l'élément de politique Version, consultez Éléments de politique JSON IAM : Version. Pour en savoir plus sur les versions de politiques, consultez Gestion des versions des politiques IAM.

• Vérifiez que vos variables de politique sont dans la casse correcte. Pour plus d'informations, veuillez consulter Éléments des politiques IAM : variables et balises.

Les modifications que j'apporte ne sont pas toujours visibles immédiatement

En tant que service auquel on accède avec des ordinateurs situés dans des centres de données du monde entier, IAM utilise un modèle d'informatique distribuée appelé cohérence éventuelle. Les modifications que vous apportez à IAM (ou à d'autres services AWS), y compris les balises utilisées dans le contrôle d'accès basé sur les attributs (ABAC, attribute-based access control), nécessitent un certain temps avant de devenir visibles de tous les points de terminaison possibles. Une partie du retard s'explique par le temps requis pour envoyer les données d'un serveur à un autre, d'une zone de réplication à une autre et d'une région à une autre dans le monde entier. IAM utilise également la mise en cache pour améliorer les performances mais, dans certains cas, cela peut ralentir le processus. La modification peut ne pas être visible tant que les données mises en cache précédemment n'arrivent pas à expiration.

Vous devez concevoir vos applications globales de sorte qu'elles tiennent compte de ces retards potentiels. Assurez-vous qu'elles fonctionnent comme prévu, même lorsqu'une modification effectuée à un emplacement n'est pas visible instantanément à un autre. Les modifications peuvent être la création ou la mise à jour d'utilisateurs, de groupes, de rôles ou de politiques. Nous vous recommandons de ne pas inclure ce type de modifications IAM dans les chemins de code critique et haute disponibilité de votre application. Au lieu de cela, procédez aux modifications IAM dans une routine d'initialisation ou d'installation distincte que vous exécutez moins souvent. Veillez également à vérifier que les modifications ont été propagées avant que les processus de production en dépendent.

Pour plus d'informations sur la manière dont d'autres services AWS sont affectés par ce retard, veuillez consulter les ressources suivantes :

• Amazon DynamoDB :Quel est le modèle de cohérence d'Amazon DynamoDB ? dans la FAQ DynamoDB, et Cohérence en lecture dans le Manuel du développeur Amazon DynamoDB.

• Amazon EC2 : Cohérence éventuelle EC2 dans la Référence d'API Amazon EC2

• Amazon EMR : Ensuring Consistency When Using Amazon S3 and Amazon Elastic MapReduce for ETL Workflows dans l'AWS Big Data Blog

• Amazon Redshift :gestion de la cohérence des données dans le guide du développeur de la base de données Amazon Redshift

• Amazon S3 : modèle de cohérence de données Amazon S3 dans le guide d'utilisateur du service de stockage simple d'Amazon

Je ne suis pas autorisé à exécuter iam:DeleteVirtualMFADevice

L'erreur suivante peut s'afficher lorsque vous tentez d'attribuer ou de supprimer un dispositif MFA virtuel pour vous-même ou d'autres personnes :

User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

Elle peut se produire si quelqu'un a commencé à assigner un dispositif MFA virtuel à un utilisateur dans la console IAM et a annulé le processus. Cela crée un dispositif MFA virtuel pour l'utilisateur dans IAM, mais ne l'affecte jamais à l'utilisateur. Vous devez supprimer le dispositif MFA virtuel existant avant de pouvoir en créer un nouveau portant le même nom.

Pour résoudre ce problème, l'administrateur ne doit pas modifier les autorisations de politique. Au lieu de cela, l'administrateur doit utiliser l'AWS CLI ou l'API AWS pour supprimer le dispositif MFA virtuel existant, mais non attribué.

Supprimer un dispositif MFA virtuel existant, mais non attribué

1. Affichez les dispositifs MFA virtuels de votre compte.

   • AWS CLI: aws iam list-virtual-mfa-devices

   • AWS API : ListVirtualMFADevices

2. Dans la réponse, localisez l'ARN du dispositif MFA virtuel pour l'utilisateur que vous essayez de réparer.

3. Supprimez le dispositif MFA virtuel.

   • AWS CLI: aws iam delete-virtual-mfa-device

   • AWS API : DeleteVirtualMFADevice

Comment créer des utilisateurs IAM en toute sécurité ?

Si certains de vos employés ont besoin d'accéder à AWS, vous pouvez choisir de créer des utilisateurs IAM ou d'utiliser IAM Identity Center pour l'authentification. Si vous utilisez IAM, AWS vous recommande de créer un utilisateur IAM et de communiquer en toute sécurité les informations d'identification à l'employé. Si vous ne vous trouvez pas physiquement à côté de votre employé, utilisez un flux de travail sécurisé pour communiquer les informations d'identification à celui-ci.

Utilisez le flux de travail suivant pour créer en toute sécurité un utilisateur dans IAM :

1. Créez un utilisateur à l'aide de la AWS Management Console. Choisissez d'accorder l'accès à la AWS Management Console à l'aide d'un mot de passe généré automatiquement. Si nécessaire, cochez la case Les utilisateurs doivent créer un mot de passe à leur prochaine connexion. N'ajoutez pas de politique d'autorisations à l'utilisateur tant que celui-ci n'a pas modifié son mot de passe.

2. Une fois l'utilisateur ajouté, copiez l'URL de connexion, le nom d'utilisateur et le mot de passe du nouvel utilisateur. Pour afficher le mot de passe, choisissez afficher.

3. Envoyez le mot de passe à votre employé à l'aide d'une méthode de communication sécurisée dans votre entreprise, par exemple, par e-mail, chat ou système de tickets. Séparément, fournissez à vos utilisateurs le lien de la console utilisateur IAM et leur nom d'utilisateur. Demandez à l'employé de vous confirmer qu'il peut se connecter correctement avant de lui accorder des autorisations.

4. Une fois que l'employé vous a confirmé cela, ajoutez les autorisations dont il a besoin. Pour des raisons de sécurité, il est recommandé d'ajouter une politique qui exige que l'utilisateur s'authentifie à l'aide de MFA pour gérer ses informations d'identification. Pour un exemple de politique, veuillez consulter AWS: permet aux utilisateurs IAM authentifiés par MFA de gérer leurs propres informations d'identification sur la page Informations d'identification de sécurité.

Ressources supplémentaires

Les ressources suivantes peuvent s'avérer dangereuses lorsque vous travaillez avec AWS.

• Guide de l'utilisateur AWS CloudTrail : utilisez AWS CloudTrail pour suivre l'historique des appels d'API à AWS et stocker ces informations dans les fichiers journaux. Vous pouvez ainsi identifier les utilisateurs et les comptes ayant accédé aux ressources de votre compte lors des appels, déterminer les actions demandées, etc. Pour de plus amples informations, veuillez consulter Journalisation des appels IAM et AWS STS API avec AWS CloudTrail.

• AWSCentre de connaissances— Consultez les FAQ ( Questions fréquentes) et les liens vers d'autres ressources pour vous aider à résoudre les problèmes.

• AWSCentre de support— Consultez le support technique.

• AWS Centre de Support PremiumObtenez un Support technique premium.