기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에서 고객 관리형 키 문제 해결 AWS IAM Identity Center
이 주제에서는 사용 시 발생할 수 있는 일반적인 고객 관리형 키 관련 오류 AWS IAM Identity Center 에 대해 설명하고 이를 해결하기 위한 문제 해결 단계를 제공합니다.
액세스 거부됨: KMS 암호 해독 권한 문제
오류: “사용자 xxxxxxx는 kms:Decrypt 작업을 허용하는 자격 증명 기반 정책이 없으므로이 사이퍼텍스트와 연결된 리소스에서 kms:Decrypt를 수행할 권한이 없습니다.”
사용자 또는 IAM 보안 주체는 IAM 정책 또는 KMS 키 정책에 필요한 kms:Decrypt 권한이 없습니다.
다음을 사용한 문제 해결 AWS CloudTrail:
CloudTrail에서
kms.amazonaws.com이벤트 찾기이벤트 이름 검색
DecrypterrorCode및errorMessage필드 검토userIdentity작업을 시도한 보안 주체를 확인합니다.
이 문제를 해결하려면 사용자 또는 IAM 보안 주체에게 IAM 정책 및 KMS 키 정책에서 kms:Decrypt 액세스 권한을 부여합니다. 자세한 내용은 에서 고객 관리형 KMS 키 구현 AWS IAM Identity Center 단원을 참조하십시오.
AWS IAM Identity Center에서 고객 관리형 KMS 키가 활성화된 관리형 애플리케이션 로그인 실패
Identity Center 사용자가 AWS 관리형 애플리케이션에 로그인할 수 없고 IAM Identity Center 인스턴스에서 고객 관리형 KMS 키가 활성화된 경우 KMS 키 정책이 AWS 관리형 애플리케이션에 고객 관리형 KMS 키를 사용할 수 있는 권한을 부여하는지 확인합니다. 자세한 내용은 기준 KMS 키 및 IAM 정책 설명 단원을 참조하십시오.
AWS IAM Identity Center에서 고객 관리형 KMS 키가 활성화된 관리형 애플리케이션 설치 및/또는 사용자 할당 실패
오류: "사용자 xxxxxxx는 kms:Decrypt 작업을 허용하는 자격 증명 기반 정책이 없으므로이 사이퍼텍스트와 연결된 리소스에 대해 kms:Decrypt를 수행할 권한이 없습니다."
사용자 또는 IAM 보안 주체는 IAM 정책 또는 KMS 키 정책에 필요한 kms:Decrypt 권한이 없습니다.
CloudTrail 문제 해결:
이벤트 이름 검색
DecrypterrorCode및errorMessage필드 검토userIdentity작업을 시도한 보안 주체를 확인합니다.
이 문제를 해결하려면 사용자 또는 IAM 보안 주체에게 IAM 정책 및 KMS 키 정책에서 kms:Decrypt 액세스 권한을 부여합니다. 자세한 내용은 에서 고객 관리형 KMS 키 구현 AWS IAM Identity Center 단원을 참조하십시오.
KMS 권한 문제:를 사용하여 고객 관리형 키 구성 AWS IAM Identity Center
사용자 또는 IAM 보안 주체는 고객 관리형 키를 활성화할 때 필요한 KMS 권한(kms:Decrypt, kms:Encrypt, kms:GenerateDataKey, kms:DescribeKey)이 하나 이상 없습니다.
CloudTrail 문제 해결:
Decrypt,EncryptGenerateDataKey, 또는DescribeKey이벤트 검색errorCode및errorMessage필드 검토userIdentity작업을 시도한 보안 주체를 확인합니다.
이 문제를 해결하려면 자격 증명 기반 정책 또는 KMS 키 정책에서 사용자 또는 IAM 보안 주체에게 필요한 모든 KMS 권한을 부여합니다. 자세한 내용은 에서 고객 관리형 KMS 키 구현 AWS IAM Identity Center 단원을 참조하십시오.
