Résoudre les problèmes IAM

Utilisez les informations fournies ici pour vous aider à diagnostiquer et à résoudre les problèmes courants lorsque vous travaillez avec AWS Identity and Access Management (IAM).

Problèmes

• Je ne peux pas me connecter à mon compte AWS
• J'ai perdu mes clés d'accès
• Les variables de la politique ne fonctionnent pas
• Les modifications que j'apporte ne sont pas toujours visibles immédiatement
• Je ne suis pas autorisé à exécuter : iam : DeleteVirtual MFADevice
• Comment créer des IAM utilisateurs en toute sécurité ?
• Ressources supplémentaires
• Résoudre les messages d'erreur d'accès refusé
• Résoudre les problèmes liés à l'utilisateur root
• Politiques de résolution des IAM problèmes
• Résoudre les problèmes liés aux clés FIDO de sécurité
• Résoudre les problèmes liés aux rôles IAM
• Dépannage IAM et Amazon EC2
• Résolution des problèmes IAM et Amazon S3
• Résoudre les problèmes de SAML fédération avec IAM

Je ne peux pas me connecter à mon compte AWS

Vérifiez que vous disposez des informations d'identification correctes et que vous utilisez la bonne méthode pour vous connecter. Pour plus d'informations, consultez Résolution des problèmes de connexion dans le Guide de l'utilisateur Connexion à AWS .

J'ai perdu mes clés d'accès

Les clés d'accès se composent de deux parties :

• Identificateur de clé d'accès. Ce n'est pas un secret et peut être vu dans la IAM console chaque fois que les clés d'accès sont répertoriées, par exemple sur la page de résumé de l'utilisateur.

• Clé d'accès secrète. Cette partie est fournie lorsque vous créez initialement la paire de clés d'accès. Tout comme un mot de passe, elle ne peut pas être récupérée ultérieurement. Si vous perdez votre clé d'accès secrète, vous devez créer une nouvelle paire de clés d'accès. Si vous disposez déjà du nombre maximum de clés d'accès, vous devez supprimer une paire existante avant de pouvoir en créer une autre.

Si vous perdez votre clé d'accès secrète, vous devez supprimer la clé d'accès et en créer une nouvelle. Pour plus d'instructions, voirMettre à jour les clés d'accès.

Les variables de la politique ne fonctionnent pas

Si vos variables de stratégie ne fonctionnent pas, l'une des erreurs suivantes s'est produite :

La date est incorrecte dans l'élément Politique de version.

Vérifiez que toutes les politiques incluant des variables contiennent le numéro de version suivant : "Version": "2012-10-17". Sans le numéro de version approprié, les variables ne sont pas remplacées lors de l'évaluation. Au contraire, les variables sont évaluées littéralement. Les politiques qui n'incluent pas de variables fonctionnent toujours lorsque vous incluez le dernier numéro de version.

Un élément de politique Version est différent d'une version de politique. L'élément de politique Version est utilisé dans une politique pour définir la version de la langue de la politique. Une version de politique est créée lorsque vous modifiez une politique gérée par le client dansIAM. La politique modifiée ne remplace pas la politique existante. Il IAM crée plutôt une nouvelle version de la politique gérée. Pour en savoir plus sur l'élément de politique Version, consultez IAMJSONéléments de politique : Version. Pour en savoir plus sur les versions de politiques, consultez Politiques de gestion des versions IAM.

Les caractères variables sont écrits dans la mauvaise majuscule.

Vérifiez que vos variables de politique sont dans la casse correcte. Pour plus d'informations, veuillez consulter Éléments des stratégies IAM : variables et balises.

Les modifications que j'apporte ne sont pas toujours visibles immédiatement

En tant que service accessible via les ordinateurs des centres de données du monde entier, il IAM utilise un modèle informatique distribué appelé cohérence éventuelle. Toutes les modifications que vous apportez IAM (ou d'autres AWS services), y compris les balises de contrôle d'accès basées sur les attributs (ABAC), mettent du temps à être visibles depuis tous les points de terminaison possibles. Certains retards sont dus au temps nécessaire pour envoyer les données d'un serveur à un autre, d'une zone de réplication à une autre et d'une région à une autre. IAMutilise également la mise en cache pour améliorer les performances, mais dans certains cas, cela peut ajouter du temps. La modification peut ne pas être visible tant que les données mises en cache précédemment n'arrivent pas à expiration.

Vous devez concevoir vos applications globales de sorte qu'elles tiennent compte de ces retards potentiels. Assurez-vous qu'elles fonctionnent comme prévu, même lorsqu'une modification effectuée à un emplacement n'est pas visible instantanément à un autre. Les modifications peuvent être la création ou la mise à jour d'utilisateurs, de groupes, de rôles ou de politiques. Nous vous recommandons de ne pas inclure de telles IAM modifications dans les chemins de code critiques à haute disponibilité de votre application. Apportez plutôt IAM des modifications dans une routine d'initialisation ou de configuration distincte que vous exécutez moins fréquemment. Veillez également à vérifier que les modifications ont été propagées avant que les processus de production en dépendent.

Pour plus d'informations sur la manière dont d'autres AWS services sont affectés par cette situation, consultez les ressources suivantes :

• Amazon DynamoDB : lisez la cohérence dans le guide du développeur DynamoDB et lisez la cohérence dans le guide du développeur Amazon DynamoDB.

• Amazon EC2 : cohérence EC2 éventuelle dans la EC2APIréférence Amazon.

• Amazon EMR : garantir la cohérence lors de l'utilisation d'Amazon S3 et d'Amazon EMR pour les ETL flux de travail dans le cadre du AWS Big Data blog

• Amazon Redshift :gestion de la cohérence des données dans le guide du développeur de la base de données Amazon Redshift

• Amazon S3 : modèle de cohérence de données Amazon S3 dans le guide d'utilisateur du service de stockage simple d'Amazon

Je ne suis pas autorisé à exécuter : iam : DeleteVirtual MFADevice

Le message d'erreur suivant peut s'afficher lorsque vous tentez d'attribuer ou de supprimer un MFA appareil virtuel pour vous-même ou pour d'autres personnes :

User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

Cela peut se produire si quelqu'un a déjà commencé à attribuer un MFA appareil virtuel à un utilisateur dans la IAM console, puis a annulé le processus. Cela crée un MFA périphérique virtuel pour l'utilisateur IAM mais ne l'assigne jamais à l'utilisateur. Supprimez le MFA périphérique virtuel existant avant de créer un nouveau MFA périphérique virtuel portant le même nom.

Pour résoudre ce problème, l'administrateur ne doit pas modifier les autorisations de politique. L'administrateur doit plutôt utiliser le AWS CLI ou AWS API pour supprimer le MFA périphérique virtuel existant mais non attribué.

Pour supprimer un périphérique virtuel MFA existant mais non attribué

1. Consultez les MFA appareils virtuels de votre compte.

   • AWS CLI: aws iam list-virtual-mfa-devices

   • AWS API: ListVirtualMFADevices

2. Dans la réponse, localisez le MFA périphérique virtuel ARN de l'utilisateur que vous essayez de corriger.

3. Supprimez le MFA périphérique virtuel.

   • AWS CLI: aws iam delete-virtual-mfa-device

   • AWS API: DeleteVirtualMFADevice

Comment créer des IAM utilisateurs en toute sécurité ?

Si certains de vos employés ont besoin d'accéder à AWS, vous pouvez choisir de créer des IAM utilisateurs ou IAMd'utiliser Identity Center pour l'authentification. Si vous utilisezIAM, vous AWS recommande de créer un IAM utilisateur et de communiquer les informations d'identification à l'employé en toute sécurité. Si vous ne vous trouvez pas physiquement à côté de votre employé, utilisez un flux de travail sécurisé pour communiquer les informations d'identification à celui-ci.

Utilisez le flux de travail sécurisé suivant pour créer un nouvel utilisateur dans IAM :

1. Créez un utilisateur à l'aide de la AWS Management Console. Choisissez d'accorder AWS Management Console l'accès avec un mot de passe généré. Si nécessaire, cochez la case Les utilisateurs doivent créer un mot de passe à leur prochaine connexion. N'ajoutez pas de politique d'autorisations à l'utilisateur tant que celui-ci n'a pas modifié son mot de passe.

2. Une fois l'utilisateur ajouté, copiez l'identifiantURL, le nom d'utilisateur et le mot de passe du nouvel utilisateur. Pour afficher le mot de passe, choisissez afficher.

3. Envoyez le mot de passe à votre employé à l'aide d'une méthode de communication sécurisée dans votre entreprise, par exemple, par e-mail, chat ou système de tickets. Fournissez séparément à vos utilisateurs le lien de la console IAM utilisateur et leur nom d'utilisateur. Demandez à l'employé de vous confirmer qu'il peut se connecter correctement avant de lui accorder des autorisations.

4. Une fois que l'employé vous a confirmé cela, ajoutez les autorisations dont il a besoin. Pour des raisons de sécurité, ajoutez une politique qui oblige l'utilisateur à s'authentifier en utilisant MFA pour gérer ses informations d'identification. Pour un exemple de politique, consultez AWS: permet aux utilisateurs IAM authentifiés par MFA de gérer leurs propres informations d'identification sur la page Informations d'identification de sécurité.

Ressources supplémentaires

Les ressources suivantes peuvent vous aider à résoudre les problèmes pendant que vous travaillez avec AWS.

• AWS CloudTrail Guide de l'utilisateur : AWS CloudTrail permet de suivre l'historique des API appels effectués AWS et de stocker ces informations dans des fichiers journaux. Vous pouvez ainsi identifier les utilisateurs et les comptes ayant accédé aux ressources de votre compte lors des appels, déterminer les actions demandées, etc. Pour de plus amples informations, veuillez consulter Journalisation IAM et AWS STS APIappels avec AWS CloudTrail.

• AWS Centre de connaissances : recherchez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.

• AWS Centre de support — Bénéficiez d'une assistance technique.

• AWS Centre de support Premium — Bénéficiez d'un support technique haut de gamme.