でのカスタマーマネージドキーのトラブルシューティング AWS IAM Identity Center - AWS IAM Identity Center
アクセス拒否: KMS 復号アクセス許可の問題AWS IAM Identity Center でカスタマーマネージド KMS キーを有効にした マネージドアプリケーションのログイン失敗AWS IAM Identity Center でカスタマーマネージド KMS キーを有効にした マネージドアプリケーションのインストールおよび/またはユーザー割り当ての失敗KMS アクセス許可の問題: でカスタマーマネージドキーを設定する AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのカスタマーマネージドキーのトラブルシューティング AWS IAM Identity Center

このトピックでは、 の使用時に発生する可能性がある一般的なカスタマーマネージドキー関連のエラー AWS IAM Identity Center と、それらを解決するためのトラブルシューティング手順について説明します。

アクセス拒否: KMS 復号アクセス許可の問題

エラー: "User xxxxxxx is not authorized to perform: kms:Decrypt on the resource associated with this ciphertext because no identity-based policy allows the kms:Decrypt action"

ユーザーまたは IAM プリンシパルには、IAM ポリシーまたは KMS キーポリシーに必要なkms:Decryptアクセス許可がありません。

を使用したトラブルシューティング AWS CloudTrail:

  1. CloudTrail でkms.amazonaws.comイベントを検索する

  2. イベント名を検索する Decrypt

  3. errorCode フィールドと errorMessageフィールドを確認する

  4. どのプリンシパルがオペレーションを試みたかuserIdentityを確認する

この問題を解決するには、IAM ポリシーと KMS キーポリシーでユーザーまたは IAM プリンシパルkms:Decryptにアクセス許可を付与します。詳細については、「でのカスタマーマネージド KMS キーの実装 AWS IAM Identity Center」を参照してください。

AWS IAM Identity Center でカスタマーマネージド KMS キーを有効にした マネージドアプリケーションのログイン失敗

Identity Center ユーザーが AWS マネージドアプリケーションにログインできず、IAM Identity Center インスタンスでカスタマーマネージド KMS キーが有効になっている場合は、KMS キーポリシーがカスタマーマネージド KMS キーを使用するためのアクセス許可を AWS マネージドアプリケーションに付与していることを確認します。詳細については、「ベースライン KMS キーと IAM ポリシーステートメント」を参照してください。

AWS IAM Identity Center でカスタマーマネージド KMS キーを有効にした マネージドアプリケーションのインストールおよび/またはユーザー割り当ての失敗

エラー: "User xxxxxxx is not authorized to perform: kms:Decrypt on the resource associated with this ciphertext because no identity-based policy allows the kms:Decrypt action"

ユーザーまたは IAM プリンシパルには、IAM ポリシーまたは KMS キーポリシーに必要なkms:Decryptアクセス許可がありません。

CloudTrail を使用したトラブルシューティング:

  1. イベント名を検索する Decrypt

  2. errorCode フィールドと errorMessageフィールドを確認する

  3. どのプリンシパルがオペレーションを試みたかuserIdentityを確認する

この問題を解決するには、IAM ポリシーと KMS キーポリシーでユーザーまたは IAM プリンシパルkms:Decryptにアクセス許可を付与します。詳細については、「でのカスタマーマネージド KMS キーの実装 AWS IAM Identity Center」を参照してください。

KMS アクセス許可の問題: でカスタマーマネージドキーを設定する AWS IAM Identity Center

ユーザーまたは IAM プリンシパルにはkms:Decrypt、カスタマーマネージドキーを有効にするときに 1 つ以上の必要な KMS アクセス許可 (kms:Encrypt、、kms:GenerateDataKeykms:DescribeKey) がありません。

CloudTrail を使用したトラブルシューティング:

  1. DecryptEncrypt、、GenerateDataKeyまたは DescribeKeyイベントを検索する

  2. errorCode フィールドと errorMessageフィールドを確認する

  3. どのプリンシパルがオペレーションを試みたかuserIdentityを確認する

この問題を解決するには、ID ベースのポリシーまたは KMS キーポリシーで、必要なすべての KMS アクセス許可をユーザーまたは IAM プリンシパルに付与します。詳細については、「でのカスタマーマネージド KMS キーの実装 AWS IAM Identity Center」を参照してください。