Résolutions des problèmes IAM

Utilisez les informations ici pour vous aider à diagnostiquer et résoudre les problèmes courants lorsque vous utilisez AWS Identity and Access Management (IAM).

Problèmes

• Je ne peux pas me connecter à mon compte AWS

• J'ai perdu mes clés d'accès

• Les variables de la politique ne fonctionnent pas

• Les modifications que j'apporte ne sont pas toujours visibles immédiatement

• Je ne suis pas autorisé à exécuter : iam : DeleteVirtual MFADevice

• Comment créer des utilisateurs IAM en toute sécurité ?

• Ressources supplémentaires

• Résolution des problèmes liés aux messages d’erreur d’accès rejeté

• Résolution de problèmes relatifs à l’utilisateur racine

• Dépannage de politiques IAM

• Résoudre les problèmes liés aux clés de sécurité et aux clés de sécurité FIDO

• Résolution des problèmes liés aux rôles IAM

• Dépannage d’IAM et Amazon EC2

• Résolution des problèmes liés à IAM et Amazon S3

• Résolution des problèmes liés à la fédération SAML avec IAM

Je ne peux pas me connecter à mon compte AWS

Vérifiez que vous disposez des informations d'identification correctes et que vous utilisez la bonne méthode pour vous connecter. Pour plus d'informations, consultez Résolution des problèmes de connexion dans le Guide de l'utilisateur Connexion à AWS .

J'ai perdu mes clés d'accès

Les clés d'accès se composent de deux parties :

• Identificateur de clé d'accès. Cet élément n'est pas secret et peut être affiché dans la console IAM partout où les clés d'accès sont répertoriées, comme sur la page de récapitulatif de l'utilisateur.

• Clé d'accès secrète. Cette partie est fournie lorsque vous créez initialement la paire de clés d'accès. Tout comme un mot de passe, elle ne peut pas être récupérée ultérieurement. Si vous perdez votre clé d'accès secrète, vous devez créer une nouvelle paire de clés d'accès. Si vous disposez déjà du nombre maximum de clés d'accès, vous devez supprimer une paire existante avant de pouvoir en créer une autre.

Si vous perdez votre clé d'accès secrète, vous devez supprimer la clé d'accès et en créer une nouvelle. Pour plus d’informations, consultez Mise à jour des clés d’accès.

Les variables de la politique ne fonctionnent pas

Si vos variables politiques ne fonctionnent pas, l’une des erreurs suivantes s’est produite :

La date est incorrecte dans l’élément Politique de version.

Vérifiez que toutes les politiques incluant des variables contiennent le numéro de version suivant : "Version": "2012-10-17". Sans le numéro de version approprié, les variables ne sont pas remplacées lors de l'évaluation. Au contraire, les variables sont évaluées littéralement. Les politiques n’incluant pas de variables continuent de fonctionner lorsque vous incluez le numéro de version le plus récent.

Un élément de politique Version est différent d'une version de politique. L'élément de politique Version est utilisé dans une politique pour définir la version de la langue de la politique. Une version de politique est créée lorsque vous apportez des modifications à une politique gérée par le client dans IAM. La politique modifiée ne remplace pas la politique existante. À la place, IAM crée une nouvelle version de la politique gérée. Pour en savoir plus sur l'élément de politique Version, consultez Éléments de politique JSON IAM : Version. Pour en savoir plus sur les versions de politiques, consultez Gestion des versions des politiques IAM.

Les caractères de la variable ne respectent pas la casse.

Vérifiez que vos variables de politique sont dans la casse correcte. Pour plus d'informations, veuillez consulter Éléments des politiques IAM : variables et balises.

Les modifications que j'apporte ne sont pas toujours visibles immédiatement

En tant que service auquel on accède avec des ordinateurs situés dans des centres de données du monde entier, IAM utilise un modèle d'informatique distribuée appelé cohérence éventuelle. Toutes les modifications que vous apportez à IAM (ou à d'autres AWS services), y compris les balises de contrôle d'accès basées sur les attributs (ABAC), mettent du temps à être visibles depuis tous les points de terminaison possibles. Certains retards résultent du temps nécessaire pour envoyer les données d’un serveur à l’autre, d’une zone de réplication à l’autre et d’une région à l’autre. IAM utilise également la mise en cache pour améliorer les performances mais, dans certains cas, cela peut ralentir le processus. La modification peut ne pas être visible tant que les données mises en cache précédemment n'arrivent pas à expiration.

Vous devez concevoir vos applications globales de sorte qu'elles tiennent compte de ces retards potentiels. Assurez-vous qu'elles fonctionnent comme prévu, même lorsqu'une modification effectuée à un emplacement n'est pas visible instantanément à un autre. Les modifications peuvent être la création ou la mise à jour d'utilisateurs, de groupes, de rôles ou de politiques. Nous vous recommandons de ne pas inclure ce type de modifications IAM dans les chemins de code critique et haute disponibilité de votre application. Au lieu de cela, procédez aux modifications IAM dans une routine d'initialisation ou d'installation distincte que vous exécutez moins souvent. Veillez également à vérifier que les modifications ont été propagées avant que les processus de production en dépendent.

Pour plus d'informations sur la manière dont d'autres AWS services sont affectés par cette situation, consultez les ressources suivantes :

• Amazon DynamoDB : Cohérence en lecture dans le Guide du développeur DynamoDB et Cohérence en lecture dans le Guide du développeur Amazon DynamoDB

• Amazon EC2 : cohérence EC2 éventuelle dans la référence d' EC2 API Amazon.

• Amazon EMR :Assurer la cohérence lors de l’utilisation d’Amazon S3 et Amazon EMR pour les flux de travail ETL dans le blog AWS sur les big data

• Amazon Redshift :gestion de la cohérence des données dans le guide du développeur de la base de données Amazon Redshift

• Amazon S3 : modèle de cohérence de données Amazon S3 dans le guide d'utilisateur du service de stockage simple d'Amazon

Je ne suis pas autorisé à exécuter : iam : DeleteVirtual MFADevice

L'erreur suivante peut s'afficher lorsque vous tentez d'attribuer ou de supprimer un dispositif MFA virtuel pour vous-même ou d'autres personnes :

User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

Elle peut se produire si quelqu'un a commencé à assigner un dispositif MFA virtuel à un utilisateur dans la console IAM et a annulé le processus. Cela crée un dispositif MFA virtuel pour l'utilisateur dans IAM, mais ne l'affecte jamais à l'utilisateur. Supprimez le dispositif MFA virtuel existant avant de pouvoir en créer un nouveau portant le même nom.

Pour résoudre ce problème, l'administrateur ne doit pas modifier les autorisations de politique. L'administrateur doit plutôt utiliser l' AWS API AWS CLI or pour supprimer le dispositif MFA virtuel existant mais non attribué.

Supprimer un dispositif MFA virtuel existant, mais non attribué

1. Affichez les dispositifs MFA virtuels de votre compte.

   • AWS CLI: aws iam list-virtual-mfa-devices

   • AWS API : ListVirtualMFADevices

2. Dans la réponse, localisez l'ARN du dispositif MFA virtuel pour l'utilisateur que vous essayez de réparer.

3. Supprimez le dispositif MFA virtuel.

   • AWS CLI: aws iam delete-virtual-mfa-device

   • AWS API : DeleteVirtualMFADevice

Comment créer des utilisateurs IAM en toute sécurité ?

Si certains de vos employés ont besoin d'accéder à AWS, vous pouvez choisir de créer des utilisateurs IAM ou d'utiliser IAM Identity Center pour l'authentification. Si vous utilisez IAM, il est AWS recommandé de créer un utilisateur IAM et de communiquer en toute sécurité les informations d'identification à l'employé. Si vous ne vous trouvez pas physiquement à côté de votre employé, utilisez un flux de travail sécurisé pour communiquer les informations d'identification à celui-ci.

Utilisez le flux de travail sécurisé suivant pour créer un utilisateur dans IAM :

1. Créez un utilisateur à l'aide de la AWS Management Console. Choisissez d'accorder l' AWS Management Console accès à l'aide d'un mot de passe généré. Si nécessaire, cochez la case Les utilisateurs doivent créer un mot de passe à leur prochaine connexion. N'ajoutez pas de politique d'autorisations à l'utilisateur tant que celui-ci n'a pas modifié son mot de passe.

2. Une fois l'utilisateur ajouté, copiez l'URL de connexion, le nom d'utilisateur et le mot de passe du nouvel utilisateur. Pour afficher le mot de passe, choisissez afficher.

3. Envoyez le mot de passe à votre employé à l'aide d'une méthode de communication sécurisée dans votre entreprise, par exemple, par e-mail, chat ou système de tickets. Séparément, fournissez à vos utilisateurs le lien de la console utilisateur IAM et leur nom d'utilisateur. Demandez à l'employé de vous confirmer qu'il peut se connecter correctement avant de lui accorder des autorisations.

4. Une fois que l'employé vous a confirmé cela, ajoutez les autorisations dont il a besoin. Pour des raisons de sécurité, il est recommandé d'ajouter une politique qui exige que l'utilisateur s'authentifie à l'aide de MFA pour gérer ses informations d'identification. Pour un exemple de politique, veuillez consulter AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leurs propres informations d’identification sur la page Informations d’identification de sécurité.

Ressources supplémentaires

Les ressources suivantes peuvent vous aider à résoudre les problèmes pendant que vous travaillez avec AWS.

• AWS CloudTrail Guide de l'utilisateur : AWS CloudTrail permet de suivre l'historique des appels d'API effectués AWS et de stocker ces informations dans des fichiers journaux. Vous pouvez ainsi identifier les utilisateurs et les comptes ayant accédé aux ressources de votre compte lors des appels, déterminer les actions demandées, etc. Pour de plus amples informations, veuillez consulter Journalisation des appels IAM et AWS STS API avec AWS CloudTrail.

• AWS Centre de connaissances : recherchez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.

• AWS Centre de support — Bénéficiez d'une assistance technique.

• AWS Centre de support Premium — Bénéficiez d'un support technique haut de gamme.