故障診斷一般 IAM 問題

使用此處的資訊，來協助您針對使用 AWS Identity and Access Management (IAM) 時的常見問題進行診斷與修正。

我無法登入到我的 AWS 帳戶

請驗證您有正確的憑證，並且正在使用正確的方法登入。如需詳細資訊，請參閱《AWS 登入 使用者指南》 中的 登入問題故障診斷。

如果遺失存取金鑰

存取金鑰包含兩個部分：

• 存取金鑰識別符。識別符是公開的，您可以在列出存取金鑰的任意 IAM 主控台中進行查看，例如使用者摘要頁面。

• 私密存取金鑰。該金鑰會在您最初建立存取金鑰對時提供。它與密碼一樣，之後無法再擷取。如果您遺失了私密存取金鑰，則必須建立新的存取金鑰對。如果您已擁有最大數量的存取金鑰，則必須先刪除現有的金鑰對，才能建立另一個。

如需更多詳細資訊，請參閱 重設 AWS 遺失或遺忘的密碼或存取金鑰。

政策變數無法運作

• 請確認包含變數的所有政策是否在政策中包含以下版本編號："Version": "2012-10-17"。若沒有正確的版本編號，在評估期間不會替換這些變數。反之，只會從字面上評估這些變數。如果您包含最新的版本編號，則不包含變數的任何政策仍將具有效用。

  Version 政策元素與政策版本不同。Version 政策元素是在政策內使用，並定義政策語言的版本。另一方面，政策版本會在您在 IAM 中變更客戶受管政策時建立。變更的政策不會覆寫現有的政策。IAM 反而會建立新版本的受管政策。若要進一步了解 Version 政策元素，請參閱 IAM JSON 政策元素：Version。若要進一步了解政策版本，請參閱 版本控制 IAM 政策。

• 確認您的政策變數為正確的大小寫。如需詳細資訊，請參閱 IAM 政策元素：變數與標籤。

我所做的變更不一定都會立刻生效

作為可透過全球各地資料中心的電腦存取的服務，IAM 採用了稱為最終一致性的分散式運算模式。您在 IAM (或其他 AWS 服務) 中所進行的任何變更，包括在基於屬性的存取控制 (ABAC) 中使用的標籤，均需要一段時間才能出現在所有可能的端點中。部分延遲是由在伺服器之間、複寫區域之間和全球不同地區之間傳送資料所花費的時間造成。IAM 也會使用快取以提升效能，但在某些情況下，這可能會增加時間。直到先前快取的資料逾時後，才能看到變更。

您設計的全域應用程式必須能夠處理這些可能的延遲問題。確保它們即使在某個位置所做的變更不會立即顯示在另一個位置時，仍能如預期般運作。此類變更包括建立或更新使用者、群組、角色或政策。在應用程式的關鍵、高可用性代碼路徑中，我們不建議進行此類 IAM 變更。而應在不常運作的、單獨的初始化或設定常式中進行 IAM 變更。另外，在生產工作流程套用這些變更之前，請務必確認變更已傳播完畢。

如需此模式如何影響其他 AWS 服務的詳細資訊，請參閱下列資源：

• Amazon DynamoDB：DynamoDB 常見問答集中的 Amazon DynamoDB 的一致性模式是什麼？以及位於 Amazon DynamoDB 開發人員指南中讀取一致性。

• Amazon EC2：Amazon EC2 API 參考中的 EC2 最終一致性。

• Amazon EMR：AWS 大數據部落格中的在將 Amazon S3 和 Amazon Elastic MapReduce 用於 ETL 工作流程時確保一致性

• Amazon Redshift： Amazon Redshift 資料庫開發人員指南中的管理資料一致性

• Amazon S3：Amazon Simple Storage Service 使用者指南中的 Amazon S3 資料一致性模式

我未獲得授權，不得執行：iam:DeleteVirtualMFADevice

當您嘗試為您自己或其他人指派或移除虛擬 MFA 裝置時，您可能會接收到下列錯誤：

User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

如果有人先前在 IAM 主控台中開始將虛擬 MFA 裝置指派給使用者的程序又將其取消，就可能發生此錯誤。這會在 IAM 中為該使用者建立虛擬 MFA 裝置，但從未將此裝置指派給該使用者。您必須先刪除現有的虛擬 MFA 裝置，才能使用相同的裝置名稱建立新的虛擬 MFA 裝置。

若要修正此問題，管理員不應編輯政策許可。管理員反而必須使用 AWS CLI 或 AWS API 刪除現有但未指派的虛擬 MFA 裝置。

刪除現有但未指派的虛擬 MFA 裝置

1. 檢視您帳戶中的虛擬 MFA 裝置。

   • AWS CLI: aws iam list-virtual-mfa-devices

   • AWS API：ListVirtualMFADevices

2. 在回應中，找到您嘗試修正的使用者虛擬 MFA 裝置 ARN。

3. 刪除虛擬 MFA 裝置。

   • AWS CLI: aws iam delete-virtual-mfa-device

   • AWS API：DeleteVirtualMFADevice

如何安全地建立 IAM 使用者？

如果您的員工需要存取 AWS，您可以選擇建立 IAM 使用者或使用 IAM Identity Center 進行身分驗證。如果您使用 IAM，AWS 建議您建立 IAM 使用者，並安全地將憑證傳達給員工。如果您不在員工旁邊，請使用安全的工作流程將憑證傳達給員工。

使用下列工作流程可在 IAM 中安全地建立新使用者：

1. 使用 AWS Management Console 建立新使用者。選擇以使用自動產生的密碼授與 AWS Management Console 存取權。如有必要，請選取 Users must create a new password at next sign-in (使用者必須在下次登入時建立新密碼) 核取方塊。在使用者變更密碼之前，請勿將許可政策新增至使用者。

2. 新增使用者之後，複製新使用者的登入 URL、使用者名稱和密碼。若要檢視密碼，請選擇 Show (顯示)。

3. 使用公司內的安全通訊方法，例如電子郵件、聊天或票證系統，將密碼傳送給您的員工。另外，為使用者提供 IAM 使用者主控台連結及其使用者名稱。請員工確認他們可以成功登入，然後再授與他們許可。

4. 員工確認之後，新增他們所需的許可。安全最佳實務是新增要求使用者使用 MFA 進行身分驗證以管理其憑證的政策。如需政策範例，請參閱 AWS：允許 MFA 驗證的 IAM 使用者在安全登入資料頁面上管理自己的登入資料。

其他資源

以下相關資源可協助您在使用 AWS 時進行故障診斷。

• AWS CloudTrail 使用者指南 – 使用 AWS CloudTrail 追蹤對 AWS 所做的 API 呼叫的歷史記錄，並將該資訊儲存在日誌檔中。這有助於您判斷哪些使用者和帳戶存取帳戶中的資源，何時進行呼叫，請求了哪些動作等等。如需更多詳細資訊，請參閱 使用以下方式記錄 IAM 和 AWS STS API 呼叫 AWS CloudTrail。

• AWS知識中心 — 尋找常見問答集和其他資源連結，協助您進行故障診斷。

• AWS支援中心 — 取得技術支援。

• AWSPremium Support 中心 — 取得付費技術支援。