Memecahkan masalah umum IAM

Gunakan informasi di sini untuk membantu Anda mendiagnosis dan memperbaiki masalah umum saat Anda bekerja dengan AWS Identity and Access Management (IAM).

Saya tidak dapat masuk ke akun AWS saya

Verifikasi bahwa Anda memiliki kredensial yang benar dan bahwa Anda menggunakan metode yang benar untuk masuk. Untuk informasi selengkapnya, lihat Memecahkan masalah login di Panduan Pengguna.AWS Sign-In

Saya kehilangan access key saya

Access key terdiri atas dua bagian:

• Pengidentifikasi kunci akses. Ini bukan rahasia, dan dapat dilihat di konsol IAM di mana pun kunci akses dicantumkan, seperti di laman ringkasan pengguna.

• Kunci akses rahasia. Ini tersedia saat Anda membuat pasangan access key di awal. Seperti kata sandi, kunci ini tidak dapat diambil lagi di lain waktu. Jika Anda kehilangan secret access key, Anda harus membuat pasangan access key baru. Jika Anda sudah memiliki jumlah maksimal access key, Anda harus menghapus pasangan yang ada sebelum Anda dapat membuat yang lain.

Untuk informasi selengkapnya, lihat Menyetel ulang kata sandi atau kunci akses yang hilang atau terlupakan untuk AWS.

Variabel kebijakan tidak berfungsi

• Verifikasi bahwa semua kebijakan yang mencakup variabel menyertakan nomor versi berikut dalam kebijakan: "Version": "2012-10-17". Tanpa nomor versi yang benar, variabel tidak diganti selama evaluasi. Alih-alih, variabel dievaluasi secara literal. Setiap kebijakan yang tidak mencakup variabel akan tetap berlaku jika Anda memasukkan nomor versi terbaru.

  Elemen kebijakan Version berbeda dari versi kebijakan. Elemen kebijakan Version digunakan dalam kebijakan dan menentukan versi bahasa kebijakan. Versi kebijakan, di sisi lain, dibuat ketika Anda membuat perubahan pada kebijakan yang dikelola pelanggan di IAM. Perubahan kebijakan tidak mengesampingkan kebijakan yang ada. Sebagai gantinya, IAM membuat versi baru dari kebijakan yang dikelola. Untuk mempelajari lebih lanjut tentang elemen kebijakan Version, lihat Elemen kebijakan IAM JSON: Version. Untuk mempelajari selengkapnya tentang versi kebijakan, lihat Peningkatan versi IAM.

• Verifikasi bahwa variabel kebijakan Anda berada di kasus yang tepat. Untuk detailnya, lihat Elemen kebijakan IAM: Variabel dan tag.

Perubahan yang saya buat tidak selalu langsung terlihat

Sebagai layanan yang diakses melalui komputer di pusat data di seluruh dunia, IAM menggunakan model komputasi terdistribusi yang disebut konsistensi akhir. Setiap perubahan yang Anda buat di IAM (atau AWS layanan lainnya), termasuk tag yang digunakan dalam kontrol akses berbasis atribut (ABAC), membutuhkan waktu untuk terlihat dari semua titik akhir yang mungkin. Beberapa penundaan dihasilkan dari waktu yang diperlukan untuk mengirim data dari server ke server, dari zona replikasi ke zona replikasi, dan dari Wilayah ke Wilayah di seluruh dunia. IAM juga menggunakan caching untuk meningkatkan kinerja, tetapi dalam beberapa kasus ini dapat menambah waktu. Perubahan mungkin tidak terlihat sampai waktu data yang disimpan di-cache sebelumnya habis.

Anda harus merancang aplikasi global untuk memperhitungkan kemungkinan penundaan ini. Pastikan aplikasi bekerja sesuai harapan, bahkan ketika perubahan yang dilakukan di satu lokasi tidak secara langsung terlihat di lokasi lain. Perubahan tersebut mencakup membuat atau memperbarui pengguna, kelompok, peran, atau kebijakan. Kami sarankan Anda tidak memasukkan perubahan IAM seperti itu di jalur kode penting dengan ketersediaan tinggi di aplikasi Anda. Sebaliknya, buat perubahan IAM dalam inisialisasi terpisah atau rutinitas pengaturan yang lebih jarang Anda lakukan. Selain itu, pastikan untuk memverifikasi bahwa perubahan telah disebar merata sebelum alur kerja produksi bergantung padanya.

Untuk informasi lebih lanjut tentang bagaimana beberapa AWS layanan lain dipengaruhi oleh ini, lihat sumber daya berikut:

• Amazon DynamoDB: Apa model konsistensi Amazon DynamoDB? di FAQ DynamoDB, dan Baca Konsistensi di Panduan Pengembang Amazon DynamoDB.

• Amazon EC2: Konsistensi Akhir EC2 dalam Referensi API Amazon EC2.

• Amazon EMR: Memastikan Konsistensi Saat Menggunakan Amazon S3 dan MapReduce Amazon Elastic untuk Alur Kerja AWS ETL di Blog Big Data

• Amazon Redshift: Mengelola Konsistensi Data dalam Panduan Pengembang Basis Data Amazon Redshift

• Amazon S3: Model Konsistensi Data Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon

Saya tidak berwenang untuk melakukan: iam: MFADevice DeleteVirtual

Anda mungkin menerima kesalahan berikut saat mencoba menugaskan atau menghapus perangkat MFA virtual untuk diri sendiri atau orang lain:

User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

Hal ini dapat terjadi jika sebelumnya seseorang menugaskan perangkat MFA virtual ke pengguna di konsol IAM dan kemudian membatalkan proses. Ini menciptakan perangkat MFA virtual untuk pengguna di IAM tetapi tidak pernah menetapkannya kepada pengguna. Anda harus menghapus perangkat MFA virtual yang ada sebelum Anda dapat membuat perangkat MFA virtual baru dengan nama perangkat yang sama.

Untuk mengatasi masalah ini, administrator seharusnya tidak mengedit izin kebijakan. Sebagai gantinya, administrator harus menggunakan AWS API AWS CLI atau untuk menghapus perangkat MFA virtual yang ada tetapi tidak ditetapkan.

Untuk menghapus perangkat MFA virtual yang ada tetapi tidak ditetapkan

1. Lihat perangkat MFA virtual di akun Anda.

   • AWS CLI: aws iam list-virtual-mfa-devices

   • AWS API: ListVirtualMFADevices

2. Sebagai tanggapan, cari ARN perangkat MFA virtual untuk pengguna yang Anda coba perbaiki.

3. Hapus perangkat MFA virtual.

   • AWS CLI: aws iam delete-virtual-mfa-device

   • AWS API: DeleteVirtualMFADevice

Bagaimana cara membuat pengguna IAM dengan aman?

Jika Anda memiliki karyawan yang memerlukan akses ke AWS, Anda dapat memilih untuk membuat pengguna IAM atau menggunakan IAM Identity Center untuk otentikasi. Jika Anda menggunakan IAM, AWS merekomendasikan agar Anda membuat pengguna IAM dan mengomunikasikan kredensialnya dengan aman kepada karyawan. Jika Anda tidak berada di sebelah karyawan Anda secara fisik, gunakan alur kerja yang aman untuk memberi tahu kredensialnya kepada karyawan.

Gunakan alur kerja berikut untuk membuat pengguna baru di IAM dengan aman:

1. Buat pengguna baru menggunakan AWS Management Console. Pilih untuk memberikan AWS Management Console akses dengan kata sandi yang dibuat secara otomatis. Jika perlu, pilih kotak centang Users must create a new password at next sign-in(Pengguna harus membuat kata sandi baru saat masuk berikutnya). Jangan tambahkan kebijakan izin ke pengguna sampai setelah mereka mengubah sandi mereka.

2. Setelah pengguna ditambahkan, salin URL masuk, nama pengguna, dan sandi untuk pengguna baru. Untuk melihat kata sandi, pilih Show (Tampilkan).

3. Kirim kata sandi ke karyawan Anda menggunakan metode komunikasi yang aman di perusahaan Anda, seperti email, obrolan, atau sistem tiket. Secara terpisah, berikan pengguna Anda tautan konsol pengguna IAM dan nama pengguna mereka. Beri tahu karyawan untuk mengonfirmasi bahwa mereka dapat berhasil masuk sebelum Anda memberikan izin kepada karyawan tersebut.

4. Setelah karyawan mengonfirmasi, tambahkan izin yang mereka perlukan. Sebagai praktik terbaik keamanan, tambahkan kebijakan yang mengharuskan pengguna mengautentikasi menggunakan MFA untuk mengelola kredensialnya. Untuk contoh kebijakan, lihat AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan.

Sumber daya tambahan

Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengannya. AWS

• AWS CloudTrail Panduan Pengguna — Gunakan AWS CloudTrail untuk melacak riwayat panggilan API yang dilakukan AWS dan menyimpan informasi tersebut dalam file log. Ini membantu Anda menentukan pengguna dan akun mana yang mengakses sumber daya di akun Anda, kapan panggilan dilakukan, tindakan apa yang diminta, dan banyak lagi. Untuk informasi selengkapnya, lihat Mencatat panggilan IAM dan AWS STS API dengan AWS CloudTrail.

• AWS Pusat Pengetahuan — Temukan FAQ dan tautan ke sumber daya lain untuk membantu Anda memecahkan masalah.

• AWS Support Center - Dapatkan dukungan teknis.

• AWS Pusat Support Premium - Dapatkan dukungan teknis premium.