對 中的客戶受管金鑰進行故障診斷 AWS IAM Identity Center - AWS IAM Identity Center
拒絕存取:KMS 解密許可問題AWS 在 IAM Identity Center 中啟用客戶受管 KMS 金鑰的受管應用程式登入失敗AWS 受管應用程式安裝和/或使用者指派失敗,並在 IAM Identity Center 中啟用客戶受管 KMS 金鑰KMS 許可問題:使用 設定客戶受管金鑰 AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

對 中的客戶受管金鑰進行故障診斷 AWS IAM Identity Center

本主題說明使用 時可能遇到的常見客戶受管金鑰相關錯誤 AWS IAM Identity Center ,並提供解決問題的疑難排解步驟。

拒絕存取:KMS 解密許可問題

錯誤:「使用者 xxxxxxx 未獲授權執行:與此加密文字相關聯的資源上的 kms:Decrypt,因為沒有身分型政策允許 kms:Decrypt 動作」

使用者或 IAM 主體在其 IAM 政策或 KMS 金鑰政策中缺少必要的kms:Decrypt許可。

使用 進行故障診斷 AWS CloudTrail:

  1. 尋找 CloudTrail 中的kms.amazonaws.com事件

  2. 搜尋事件名稱 Decrypt

  3. 檢閱 errorCodeerrorMessage 欄位

  4. 檢查 userIdentity以確認哪些委託人嘗試操作

若要解決此問題,請在其 IAM 政策和 KMS 金鑰政策中授予使用者或 IAM 主體kms:Decrypt存取許可。如需詳細資訊,請參閱在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center

AWS 在 IAM Identity Center 中啟用客戶受管 KMS 金鑰的受管應用程式登入失敗

如果 Identity Center 使用者無法登入 AWS 受管應用程式,且您的 IAM Identity Center 執行個體已啟用客戶受管 KMS 金鑰,請確認 KMS 金鑰政策授予 AWS 受管應用程式使用客戶受管 KMS 金鑰的許可。如需詳細資訊,請參閱基準 KMS 金鑰和 IAM 政策陳述式

AWS 受管應用程式安裝和/或使用者指派失敗,並在 IAM Identity Center 中啟用客戶受管 KMS 金鑰

錯誤:「使用者 xxxxxxx 未獲授權執行:與此加密文字相關聯的資源上的 kms:Decrypt,因為沒有身分型政策允許 kms:Decrypt 動作」

使用者或 IAM 主體在其 IAM 政策或 KMS 金鑰政策中缺少必要的kms:Decrypt許可。

使用 CloudTrail 進行故障診斷:

  1. 搜尋事件名稱 Decrypt

  2. 檢閱 errorCodeerrorMessage 欄位

  3. 檢查 userIdentity以確認哪些委託人嘗試操作

若要解決此問題,請在其 IAM 政策和 KMS 金鑰政策中授予使用者或 IAM 主體kms:Decrypt存取許可。如需詳細資訊,請參閱在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center

KMS 許可問題:使用 設定客戶受管金鑰 AWS IAM Identity Center

使用者或 IAM 主體在啟用客戶受管金鑰時,缺少一或多個必要的 KMS kms:Encrypt許可 (kms:Decryptkms:GenerateDataKey、、kms:DescribeKey)。

使用 CloudTrail 進行故障診斷:

  1. 搜尋 DecryptGenerateDataKeyEncryptDescribeKey事件

  2. 檢閱 errorCodeerrorMessage 欄位

  3. 檢查 userIdentity以確認哪些委託人嘗試操作

若要解決此問題,請將所有必要的 KMS 許可授予其身分型政策或 KMS 金鑰政策中的使用者或 IAM 主體。如需詳細資訊,請參閱在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center