Solução de problemas gerais do IAM
Use as informações contidas aqui para ajudar a diagnosticar e corrigir problemas comuns ao trabalhar com o AWS Identity and Access Management (IAM).
Problemas
- Não consigo fazer login na minha conta da AWS
- Perdi minhas chaves de acesso
- As variáveis da política não estão funcionando
- As alterações que eu faço nem sempre ficam imediatamente visíveis
- Não estou autorizado a executar: iam:DeleteVirtualMFADevice
- Como faço para criar usuários do IAM com segurança?
- Recursos adicionais
Não consigo fazer login na minha conta da AWS
Verifique se você tem as credenciais corretas e se está usando o método correto para fazer login. Para obter mais informações, consulte Solução de problemas de login no Guia do usuário do Início de Sessão da AWS.
Perdi minhas chaves de acesso
As chaves de acesso consistem em duas partes:
-
O identificador da chave de acesso. Não se trata de um segredo e pode ser visto no console do IAM sempre que as chaves de acesso forem listadas, como na página de resumo do usuário.
-
A chave de acesso secreta. É fornecida quando você cria inicialmente o par de chaves de acesso. Assim como uma senha, ela não pode ser recuperada posteriormente. Se você perdeu sua chave de acesso secreta, crie um novo par de chaves de acesso. Se você já tiver o número máximo de chaves de acesso, será necessário excluir um par existente antes de criar outro.
Para obter mais informações, consulte Redefinição de senhas perdidas ou esquecidas ou chaves de acesso para a AWS.
As variáveis da política não estão funcionando
-
Verifique se todas as políticas que incluem variáveis incluem o seguinte número da versão na política:
"Version": "2012-10-17"
. Sem o número da versão correta, as variáveis não são substituídas durante a avaliação. Em vez disso, as variáveis são avaliadas literalmente. Todas as políticas que não incluírem variáveis ainda funcionarão se você incluir o número da versão mais recente.Um elemento de política
Version
é diferente de uma versão de política. O elemento de políticaVersion
é usado em uma política e define a versão da linguagem da política. A versão da política, por outro lado, é criada quando você faz alterações em uma política gerenciada pelo cliente no IAM. A política alterada não substitui a política existente. Em vez disso, o IAM cria uma nova versão da política gerenciada. Para saber mais sobre o elemento de políticaVersion
, consulte Elementos de política JSON do IAM: Version. Para saber mais sobre as versões de política, consulte Versionamento de políticas do IAM. -
Verifique se as variáveis de política estão no caso certo. Para obter mais detalhes, consulte Elementos de política do IAM: variáveis e etiquetas.
As alterações que eu faço nem sempre ficam imediatamente visíveis
Como um serviço que é acessado por meio de computadores em datacenters em todo o mundo, o IAM usa um modelo de computação distribuído chamado consistência final
Você deve projetar seus aplicativos globais levando em conta esses possíveis atrasos. Garanta que eles funcionem conforme o esperado, mesmo quando uma alteração feita em um local não fique imediatamente visível em outro. Essas alterações incluem a criação ou a atualização de usuários, grupos, funções ou políticas. Recomendamos que você não inclua essas alterações do IAM nos caminhos de código crítico de alta disponibilidade do seu aplicativo. Em vez disso, faça alterações do IAM em uma rotina de inicialização ou de configuração separada que você executa com menos frequência. Além disso, certifique-se de verificar se as alterações foram propagadas antes que os fluxos de trabalho de produção dependam delas.
Para obter mais informações sobre como alguns outros serviços da AWS são afetados por isso, consulte os seguintes recursos:
-
Amazon DynamoDB: Qual é o modelo de consistência do Amazon DynamoDB?
nas Perguntas frequentes sobre o DynamoDB e Consistência de leitura no Guia do desenvolvedor do Amazon DynamoDB. -
Amazon EC2: Consistência final do EC2 na Referência de API do Amazon EC2.
-
Amazon EMR: Ensuring Consistency When Using Amazon S3 and Amazon Elastic MapReduce for ETL Workflows
no AWS Big Data Blog -
Amazon Redshift: Gerenciar consistência de dados no Guia do desenvolvedor de banco de dados do Amazon Redshift
-
Amazon S3: modelo de consistência de dados do Amazon S3 no Guia do usuário do Amazon Simple Storage Service
Não estou autorizado a executar: iam:DeleteVirtualMFADevice
Você pode receber o seguinte erro ao tentar atribuir ou remover um dispositivo MFA virtual para você ou para outras pessoas:
User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny
Isso pode acontecer se, anteriormente, alguém tiver começado a atribuir um dispositivo com MFA virtual a um usuário no console do IAM e tiver cancelado o processo. Isso cria um dispositivo de MFA virtual para o usuário no IAM, mas nunca o associa a esse usuário. Você deve excluir o dispositivo de MFA virtual existente antes de criar um novo com o mesmo nome de dispositivo.
Para corrigir esse problema, um administrador não deve editar permissões de política. Em vez disso, o administrador deve usar a AWS CLI ou a API da AWS para excluir o dispositivo de MFA virtual existente, mas não atribuído.
Para excluir um dispositivo de MFA virtual existente, mas não atribuído
-
Visualize os dispositivos MFA virtuais em sua conta.
-
AWS CLI:
aws iam list-virtual-mfa-devices
-
API da AWS:
ListVirtualMFADevices
-
-
Na resposta, localize o ARN do dispositivo de MFA virtual para o usuário que você está tentando corrigir.
-
Exclua o dispositivo de MFA virtual.
-
AWS CLI:
aws iam delete-virtual-mfa-device
-
API da AWS:
DeleteVirtualMFADevice
-
Como faço para criar usuários do IAM com segurança?
Se houver funcionários que precisam de acesso à AWS, você poderá criar usuários do IAM ou usar o IAM Identity Center para autenticação. Se você usa o IAM, a AWS recomenda que você crie um usuário do IAM e informe com segurança as credenciais ao funcionário. Se você não estiver fisicamente localizado ao lado de seu funcionário, use um fluxo de trabalho seguro para comunicar as credenciais aos funcionários.
Use o fluxo de trabalho a seguir para criar um novo usuário com segurança no IAM:
-
Crie um novo usuário usando o AWS Management Console. Conceda acesso ao AWS Management Console com uma senha gerada automaticamente. Se necessário, marque a caixa de seleção Users must create a new password at next sign-in (Usuários devem criar uma nova senha no próximo login). Não adicione uma política de permissões ao usuário até que ele tenha alterado sua senha.
-
Depois que o usuário for adicionado, copie o URL de login, o nome de usuário e a senha para o novo usuário. Para visualizar a senha, escolha Show (Mostrar).
-
Envie a senha para seu funcionário usando um método de comunicação segura em sua empresa, como e-mail, chat ou um sistema de emissão de bilhetes. Separadamente, forneça aos usuários o link do console do usuário e o nome de usuário do IAM. Peça que o funcionário confirme se ele pode fazer login com sucesso antes de conceder permissões a ele.
-
Depois que o funcionário confirmar, adicione as permissões que forem necessárias. Como prática recomendada de segurança, adicione uma política que exija que o usuário autentique usando MFA para gerenciar suas credenciais. Para ver um exemplo de política, consulte AWS: permite que os usuários do IAM autenticados por MFA gerenciem suas próprias credenciais na página Credenciais de segurança.
Recursos adicionais
Os seguintes recursos podem ajudar você a solucionar problemas enquanto trabalha com o AWS.
-
Guia do usuário do AWS CloudTrail: use o AWS CloudTrail para rastrear um histórico de chamadas de API feitas para a AWS e armazenar essas informações em arquivos de log. Isso ajuda você a determinar quais usuários e contas acessaram recursos na sua conta, quando as chamadas foram feitas, quais ações foram solicitadas, etc. Para obter mais informações, consulte Registro em log de chamadas de API do IAM e do AWS STS com o AWS CloudTrail.
-
Centro de Conhecimentos da AWS
: encontre perguntas frequentes e links para outros recursos para ajudar na solução de problemas. -
Centro de Suporte da AWS
: obtenha suporte técnico. -
Centro de Suporte Premium da AWS
: obtenha suporte técnico diferenciado.