Problembehandlung IAM

Verwenden Sie die Informationen hier, um häufig auftretende Probleme zu diagnostizieren und zu beheben, wenn Sie mit AWS Identity and Access Management (IAM) arbeiten.

Problembereiche

• Ich kann mich nicht in meinem AWS -Konto anmelden
• Ich habe meine Zugriffsschlüssel verloren
• Die Richtlinienvariablen funktionieren nicht
• Änderungen, die ich vornehme, sind nicht immer direkt sichtbar
• Ich bin nicht berechtigt, Folgendes aufzuführen: iam: DeleteVirtual MFADevice
• Wie erstelle ich auf sichere Weise IAM Benutzer?
• Weitere Ressourcen
• Problembehandlung bei Fehlermeldungen mit verweigertem Zugriff
• Probleme mit dem Root-Benutzer beheben
• IAMRichtlinien zur Fehlerbehebung
• Problembehandlung bei FIDO Sicherheitsschlüsseln
• Problembehandlung bei IAM Rollen
• Fehlerbehebung IAM und Amazon EC2
• Fehlerbehebung IAM und Amazon S3
• Fehlerbehebung beim SAML Verbund mit IAM

Ich kann mich nicht in meinem AWS -Konto anmelden

Stellen Sie sicher, dass Sie über die richtigen Anmeldeinformationen verfügen und dass Sie die richtige Methode verwenden, um sich anzumelden. Weitere Informationen finden Sie unter Behebung von Anmeldefehlern im AWS-Anmeldung -Benutzerhandbuch.

Ich habe meine Zugriffsschlüssel verloren

Die Zugriffsschlüssel bestehen aus zwei Teilen:

• Die Zugriffsschlüssel-ID. Dies ist kein Geheimnis und kann in der IAM Konsole überall dort angezeigt werden, wo die Zugriffsschlüssel aufgeführt sind, z. B. auf der Benutzerübersichtsseite.

• Der geheime Zugriffsschlüssel. Der geheime Zugriffsschlüssel wird bereitgestellt, wenn Sie zum ersten Mal das Zugriffsschlüsselpaar erstellen. Wie bei einem Passwort kann der Schlüssel später nicht mehr abgerufen werden. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren, müssen Sie ein neues Zugriffsschlüsselpaar erstellen. Wenn Sie bereits über die maximale Anzahl an Zugriffsschlüsseln verfügen, müssen Sie ein vorhandenes Schlüsselpaar löschen, bevor Sie ein anderes erstellen können.

Weitere Informationen finden Sie unter Zurücksetzen verlorener oder vergessener Passwörter oder Zugangsschlüssel für AWS.

Die Richtlinienvariablen funktionieren nicht

Wenn Ihre Richtlinienvariablen nicht funktionieren, ist einer der folgenden Fehler aufgetreten:

Das Datum im Richtlinienelement Version ist falsch.

Überprüfen Sie, ob für alle Richtlinien, die Variablen enthalten, die folgende Versionsnummer in der Richtlinie angegeben ist: "Version": "2012-10-17". Ohne die korrekte Versionsnummer werden die Variablen während der Auswertung nicht ersetzt. Stattdessen werden die Variablen wörtlich ausgewertet. Richtlinien, die keine Variablen enthalten, funktionieren trotzdem, wenn Sie die neueste Versionsnummer angeben.

Das Richtlinienelement Version unterscheidet sich von einer Richtlinienversion. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Eine Richtlinienversion wird erstellt, wenn Sie eine vom Kunden verwaltete Richtlinie in ändernIAM. Die vorhandene Richtlinie wird von der geänderten Richtlinie nicht überschrieben. IAMErstellt stattdessen eine neue Version der verwalteten Richtlinie. Weitere Informationen zum Richtlinienelement Version finden Sie unter IAM-JSON-Richtlinienelemente: Version. Weitere Informationen zu den Richtlinienversionen finden Sie unter Versioning von IAM-Richtlinien.

Bei variablen Zeichen wird die falsche Groß- und Kleinschreibung verwendet.

Überprüfen Sie, ob die Groß- und Kleinschreibung der Richtlinienvariablen richtig ist. Details hierzu finden Sie unter IAM-Richtlinienelemente: Variablen und Tags.

Änderungen, die ich vornehme, sind nicht immer direkt sichtbar

Als Dienst, auf den über Computer in Rechenzentren auf der ganzen Welt zugegriffen wird, wird ein verteiltes Rechenmodell IAM verwendet, das als Eventualkonsistenz bezeichnet wird. Es dauert einige Zeit, bis alle Änderungen, die Sie an IAM (oder anderen AWS Diensten) vornehmen, einschließlich attributebasierter Zugriffskontrolltags (ABAC), von allen möglichen Endpunkten aus sichtbar werden. Eine gewisse Verzögerung ist auf die Zeit zurückzuführen, die für das Senden von Daten von Server zu Server, von Replikationszone zu Replikationszone und von Region zu Region benötigt wird. IAMverwendet auch Caching, um die Leistung zu verbessern, aber in einigen Fällen kann dies zu mehr Zeit führen. Die Änderung ist möglicherweise erst sichtbar, wenn die Zeit für die vorher zwischengespeicherten Daten abgelaufen ist.

Sie müssen Ihre globalen Anwendungen unter Berücksichtigung dieser potenziellen Verzögerungen konzipieren. Stellen Sie sicher, dass sie wie erwartet funktionieren, und zwar auch dann, wenn eine Änderung an einem Speicherort nicht sofort an einem anderen sichtbar ist. Solche Änderungen umfassen das Erstellen oder Aktualisieren von Benutzern, Gruppen, Rollen und Richtlinien. Wir empfehlen, solche IAM Änderungen nicht in die kritischen, hochverfügbaren Codepfade Ihrer Anwendung aufzunehmen. Nehmen Sie IAM Änderungen stattdessen in einer separaten Initialisierungs- oder Setup-Routine vor, die Sie seltener ausführen. Vergewissern Sie sich auch, dass die Änderungen weitergegeben wurden, bevor die Produktionsarbeitsabläufe davon abhängen.

Weitere Informationen darüber, wie einige andere AWS Dienste davon betroffen sind, finden Sie in den folgenden Ressourcen:

• Amazon DynamoDB: Lesen Sie Konsistenz im DynamoDB-Entwicklerhandbuch und Lesen Sie Konsistenz im Amazon DynamoDB DynamoDB-Entwicklerhandbuch.

• Amazon EC2: EC2Eventuelle Konsistenz in der EC2APIAmazon-Referenz.

• Amazon EMR: Sicherstellung der Konsistenz bei der Verwendung von Amazon S3 und Amazon EMR für ETL Workflows im AWS Big Data-Blog

• Amazon Redshift: Verwalten der Datenkonsistenz im Amazon Redshift Developerhandbuch

• Amazon S3: Amazon-S3-Datenkonsistenzmodell im Benutzerhandbuch für Amazon Simple Storage Service

Ich bin nicht berechtigt, Folgendes aufzuführen: iam: DeleteVirtual MFADevice

Wenn Sie versuchen, ein virtuelles MFA Gerät für sich selbst oder andere zuzuweisen oder zu entfernen, wird möglicherweise die folgende Fehlermeldung angezeigt:

User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

Dies kann passieren, wenn jemand zuvor damit begonnen hat, einem Benutzer in der IAM Konsole ein virtuelles MFA Gerät zuzuweisen und den Vorgang dann abgebrochen hat. Dadurch wird ein virtuelles MFA Gerät für den Benutzer erstellt, das dem Benutzer IAM jedoch nie zugewiesen wird. Löschen Sie das vorhandene virtuelle MFA Gerät, bevor Sie ein neues virtuelles MFA Gerät mit demselben Gerätenamen erstellen.

Zur Behebung des Problems sollte ein Administrator keine Richtlinienberechtigungen bearbeiten. Stattdessen muss der Administrator das AWS CLI oder verwenden, AWS API um das vorhandene, aber nicht zugewiesene virtuelle MFA Gerät zu löschen.

Um ein vorhandenes, aber nicht zugewiesenes virtuelles Gerät zu löschen MFA

1. Sehen Sie sich die virtuellen MFA Geräte in Ihrem Konto an.

   • AWS CLI: aws iam list-virtual-mfa-devices

   • AWS API: ListVirtualMFADevices

2. Suchen Sie in der Antwort das ARN virtuelle MFA Gerät für den Benutzer, den Sie reparieren möchten.

3. Löschen Sie das virtuelle MFA Gerät.

   • AWS CLI: aws iam delete-virtual-mfa-device

   • AWS API: DeleteVirtualMFADevice

Wie erstelle ich auf sichere Weise IAM Benutzer?

Wenn Sie Mitarbeiter haben, auf die Sie Zugriff benötigen AWS, können Sie IAM Benutzer erstellen oder IAMIdentity Center für die Authentifizierung verwenden. Falls Sie dies verwendenIAM, AWS empfiehlt Ihnen, einen IAM Benutzer zu erstellen und die Anmeldeinformationen dem Mitarbeiter auf sichere Weise mitzuteilen. Wenn Sie sich nicht physisch neben Ihrem Mitarbeiter befinden, verwenden Sie einen sicheren Workflow, um den Mitarbeitern Anmeldeinformationen zu übermitteln.

Verwenden Sie den folgenden sicheren Workflow, um einen neuen Benutzer in zu erstellenIAM:

1. Erstellen Sie einen neuen Benutzer mit der AWS Management Console. Wählen Sie, ob Sie AWS Management Console den Zugriff mit einem generierten Passwort gewähren möchten. Aktivieren Sie ggf. das Kontrollkästchen Benutzer müssen bei der nächsten Anmeldung ein neues Passwort erstellen. Fügen Sie dem Benutzer erst dann eine Berechtigungsrichtlinie hinzu, nachdem er sein Passwort geändert hat.

2. Nachdem der Benutzer hinzugefügt wurde, kopieren Sie die AnmeldungURL, den Benutzernamen und das Passwort für den neuen Benutzer. Um das Passwort anzuzeigen, wählen Sie Anzeigen.

3. Senden Sie das Passwort an Ihren Mitarbeiter mit einer sicheren Kommunikationsmethode in Ihrem Unternehmen, wie E-Mail, Chat oder einem Ticketsystem. Geben Sie Ihren Benutzern separat den Link zur IAM Benutzerkonsole und ihren Benutzernamen. Sagen Sie dem Mitarbeiter, dass er bestätigen soll, dass er sich erfolgreich anmelden kann, bevor Sie ihm Berechtigungen erteilen.

4. Nachdem der Mitarbeiter dies bestätigt hat, fügen Sie die erforderlichen Berechtigungen hinzu. Aus Sicherheitsgründen sollten Sie eine Richtlinie hinzufügen, nach der sich der Benutzer authentifizieren muss, um seine Anmeldeinformationen MFA zu verwalten. Eine Beispielrichtlinie finden Sie unter AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern, ihre eigenen Anmeldeinformationen auf der Seite Sicherheitsanmeldedaten zu verwalten.

Weitere Ressourcen

Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit AWS helfen.

• AWS CloudTrail Benutzerhandbuch — Wird verwendet AWS CloudTrail , um den Verlauf von API Anrufen nachzuverfolgen AWS und diese Informationen in Protokolldateien zu speichern. Auf diese Weise können Sie einfacher bestimmen, welche Benutzer und Konten auf Ressourcen in Ihrem Konto zugegriffen haben, wann die Aufrufe erfolgten, welche Aktionen angefordert wurden, und vieles mehr. Weitere Informationen finden Sie unter Protokollierung IAM und AWS STS API Anrufe mit AWS CloudTrail.

• AWS Knowledge Center — Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.

• AWS Support Center — Holen Sie sich technischen Support.

• AWS Premium Support Center — Holen Sie sich erstklassigen technischen Support.