Résolution des problèmes généraux d'IAM - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes généraux d'IAM

Utilisez les informations ici pour vous aider à diagnostiquer et résoudre les problèmes courants lorsque vous utilisez AWS Identity and Access Management (IAM).

Je ne peux pas me connecter à mon compte AWS

Vérifiez que vous disposez des informations d'identification correctes et que vous utilisez la bonne méthode pour vous connecter. Pour plus d'informations, consultez Résolution des problèmes de connexion dans le Guide de l'utilisateur Connexion à AWS .

J'ai perdu mes clés d'accès

Les clés d'accès se composent de deux parties :

  • Identificateur de clé d'accès. Cet élément n'est pas secret et peut être affiché dans la console IAM partout où les clés d'accès sont répertoriées, comme sur la page de récapitulatif de l'utilisateur.

  • Clé d'accès secrète. Cette partie est fournie lorsque vous créez initialement la paire de clés d'accès. Tout comme un mot de passe, elle ne peut pas être récupérée ultérieurement. Si vous perdez votre clé d'accès secrète, vous devez créer une nouvelle paire de clés d'accès. Si vous disposez déjà du nombre maximum de clés d'accès, vous devez supprimer une paire existante avant de pouvoir en créer une autre.

Pour plus d’informations, consultez Réinitialisation de mots de passe ou de clés d'accès perdus ou oubliés pour AWS.

Les variables de la politique ne fonctionnent pas

  • Vérifiez que toutes les politiques incluant des variables contiennent le numéro de version suivant : "Version": "2012-10-17". Sans le numéro de version approprié, les variables ne sont pas remplacées lors de l'évaluation. Au contraire, les variables sont évaluées littéralement. Toutes les politiques n'incluant pas de variables continueront de fonctionner si vous incluez le numéro de version le plus récent.

    Un élément de politique Version est différent d'une version de politique. L'élément de politique Version est utilisé dans une politique pour définir la version de la langue de la politique. En revanche, une version de politique est créée lorsque vous apportez des modifications à une politique gérée par le client dans IAM. La politique modifiée ne remplace pas la politique existante. À la place, IAM crée une nouvelle version de la politique gérée. Pour en savoir plus sur l'élément de politique Version, consultez Éléments de politique JSON IAM : Version. Pour en savoir plus sur les versions de politiques, consultez Gestion des versions des politiques IAM.

  • Vérifiez que vos variables de politique sont dans la casse correcte. Pour plus d'informations, veuillez consulter Éléments des politiques IAM : variables et balises.

Les modifications que j'apporte ne sont pas toujours visibles immédiatement

En tant que service auquel on accède avec des ordinateurs situés dans des centres de données du monde entier, IAM utilise un modèle d'informatique distribuée appelé cohérence éventuelle. Toute modification apportée à IAM (ou à d'autres AWS services), y compris les balises utilisées dans le contrôle d'accès basé sur les attributs (ABAC), met du temps à être visible depuis tous les points de terminaison possibles. Une partie du retard s'explique par le temps requis pour envoyer les données d'un serveur à un autre, d'une zone de réplication à une autre et d'une région à une autre dans le monde entier. IAM utilise également la mise en cache pour améliorer les performances mais, dans certains cas, cela peut ralentir le processus. La modification peut ne pas être visible tant que les données mises en cache précédemment n'arrivent pas à expiration.

Vous devez concevoir vos applications globales de sorte qu'elles tiennent compte de ces retards potentiels. Assurez-vous qu'elles fonctionnent comme prévu, même lorsqu'une modification effectuée à un emplacement n'est pas visible instantanément à un autre. Les modifications peuvent être la création ou la mise à jour d'utilisateurs, de groupes, de rôles ou de politiques. Nous vous recommandons de ne pas inclure ce type de modifications IAM dans les chemins de code critique et haute disponibilité de votre application. Au lieu de cela, procédez aux modifications IAM dans une routine d'initialisation ou d'installation distincte que vous exécutez moins souvent. Veillez également à vérifier que les modifications ont été propagées avant que les processus de production en dépendent.

Pour plus d'informations sur la manière dont d'autres AWS services sont affectés par cette situation, consultez les ressources suivantes :

Je ne suis pas autorisé à effectuer : iam : MFAdevice DeleteVirtual

L'erreur suivante peut s'afficher lorsque vous tentez d'attribuer ou de supprimer un dispositif MFA virtuel pour vous-même ou d'autres personnes :

User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

Elle peut se produire si quelqu'un a commencé à assigner un dispositif MFA virtuel à un utilisateur dans la console IAM et a annulé le processus. Cela crée un dispositif MFA virtuel pour l'utilisateur dans IAM, mais ne l'affecte jamais à l'utilisateur. Vous devez supprimer le dispositif MFA virtuel existant avant de pouvoir en créer un nouveau portant le même nom.

Pour résoudre ce problème, l'administrateur ne doit pas modifier les autorisations de politique. L'administrateur doit plutôt utiliser l' AWS API AWS CLI or pour supprimer le dispositif MFA virtuel existant mais non attribué.

Supprimer un dispositif MFA virtuel existant, mais non attribué
  1. Affichez les dispositifs MFA virtuels de votre compte.

  2. Dans la réponse, localisez l'ARN du dispositif MFA virtuel pour l'utilisateur que vous essayez de réparer.

  3. Supprimez le dispositif MFA virtuel.

Comment créer des utilisateurs IAM en toute sécurité ?

Si certains de vos employés ont besoin d'accéder à AWS, vous pouvez choisir de créer des utilisateurs IAM ou d'utiliser IAM Identity Center pour l'authentification. Si vous utilisez IAM, il est AWS recommandé de créer un utilisateur IAM et de communiquer en toute sécurité les informations d'identification à l'employé. Si vous ne vous trouvez pas physiquement à côté de votre employé, utilisez un flux de travail sécurisé pour communiquer les informations d'identification à celui-ci.

Utilisez le flux de travail suivant pour créer en toute sécurité un utilisateur dans IAM :

  1. Créez un utilisateur à l'aide de la AWS Management Console. Choisissez d'accorder l' AWS Management Console accès à l'aide d'un mot de passe généré automatiquement. Si nécessaire, cochez la case Les utilisateurs doivent créer un mot de passe à leur prochaine connexion. N'ajoutez pas de politique d'autorisations à l'utilisateur tant que celui-ci n'a pas modifié son mot de passe.

  2. Une fois l'utilisateur ajouté, copiez l'URL de connexion, le nom d'utilisateur et le mot de passe du nouvel utilisateur. Pour afficher le mot de passe, choisissez afficher.

  3. Envoyez le mot de passe à votre employé à l'aide d'une méthode de communication sécurisée dans votre entreprise, par exemple, par e-mail, chat ou système de tickets. Séparément, fournissez à vos utilisateurs le lien de la console utilisateur IAM et leur nom d'utilisateur. Demandez à l'employé de vous confirmer qu'il peut se connecter correctement avant de lui accorder des autorisations.

  4. Une fois que l'employé vous a confirmé cela, ajoutez les autorisations dont il a besoin. Pour des raisons de sécurité, il est recommandé d'ajouter une politique qui exige que l'utilisateur s'authentifie à l'aide de MFA pour gérer ses informations d'identification. Pour un exemple de politique, veuillez consulter AWS: permet aux utilisateurs IAM authentifiés par MFA de gérer leurs propres informations d'identification sur la page Informations d'identification de sécurité.

Ressources supplémentaires

Les ressources suivantes peuvent vous aider à résoudre les problèmes au fur et à mesure que vous travaillez avec AWS.