排查一般 IAM 问题

访问密钥标识符。标识符是公开的，您可以在列出访问密钥的任意 IAM 控制台中进行查看，例如用户摘要页面。

秘密访问密钥。该密钥会在您最初创建访问密钥对时提供。它与密码一样，之后无法检索。如果您丢失了私有访问密钥，则必须创建新的访问密钥对。如果您已达到访问密钥的数量上限，必须删除一个现有的密钥对，然后才可以创建另一个。

检查错误消息是否包含与拒绝访问有关的策略类型。例如，如果错误提到由于服务控制策略 (SCP) 而拒绝访问，则可以专注于对 SCP 问题进行故障排除。知晓策略类型后，您还可以检查该策略类型策略中的特定操作是否存在拒绝语句或缺少允许。有关更多信息，请参阅排查访问被拒绝错误消息。如果错误消息没有提到与拒绝访问有关的策略类型，请使用本部分中的其余指南进一步排除故障。

验证您是否具有调用您请求的操作和资源的基于身份的策略权限。如果设置了任何条件，您还必须在发送请求时满足这些条件。有关查看或修改用于 IAM 用户、组或角色的策略的信息，请参阅 管理 IAM policy。

如果 Amazon Web Services Management Console 返回消息称您无权执行某个操作，则必须联系您的管理员寻求帮助。您的管理员为您提供了登录凭证或登录链接。

当 mateojackson IAM 用户尝试使用控制台查看有关虚构 my-example-widget 资源的详细信息，但不具有虚构 widgets:GetWidget 权限时，会发生以下示例错误。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: widgets:GetWidget on resource: my-example-widget

在这种情况下，Mateo 必须请求他的管理员更新其策略，以允许他使用 widgets:GetWidget 操作访问 my-example-widget 资源。

您是否尝试访问支持基于资源的策略（如 Amazon S3、Amazon SNS 或 Amazon SQS）的服务？ 如果是，请确认策略将您指定为主体并为您授予访问权限。如果您在您的账户中向服务发出请求，基于身份的策略或基于资源的策略将向您授予相应的权限。如果您在不同的账户中向服务发出请求，则基于身份的策略和基于资源的策略这两者都必须向您授予权限。要查看哪些服务支持基于资源的策略，请参阅使用 IAM 的Amazon服务。

如果您的策略包含的条件具有键值对，请仔细检查。示例包括 aws:RequestTag/tag-key 全局条件密钥、 Amazon KMS kms:EncryptionContext:encryption_context_key 和多个服务支持的 ResourceTag/tag-key 条件键。确保键名称不与多个结果匹配。由于条件键名称不区分大小写，因为检查名为 foo 的键的条件将与 foo、Foo 或 FOO 匹配。如果您的请求包含多个键值对，其中的键名称只是大小写形式不同，则您的访问可能会被意外拒绝。有关更多信息，请参阅IAM JSON 策略元素：Condition。

如果您具有权限边界，请验证用于权限边界的策略是否允许您的请求。如果基于身份的策略允许请求，但权限边界不允许，则会拒绝请求。权限边界控制 IAM 主体（用户或角色）可以拥有的最大权限。基于资源的策略不受权限边界限制。权限边界不常用。有关 Amazon 如何评估这些策略的更多信息，请参阅 策略评估逻辑。

如果您手动签署请求（不使用 Amazon SDK），请验证您已正确签署请求。

首先，请确保您未因与您的临时凭证无关的原因而被拒绝访问。有关更多信息，请参阅当我向某个 Amazon 服务发送请求时，收到了“访问被拒绝”。

要验证服务是否接受临时安全凭证，请参阅使用 IAM 的Amazon服务。

验证您的请求是否采用了正确的签名和适当的格式。有关详细信息，请参阅工具包文档或 将临时凭证用于 Amazon 资源。

验证您的临时安全凭证没有过期。有关更多信息，请参阅IAM 临时安全凭证。

验证 IAM 用户或角色拥有正确的许可。临时安全证书的权限派生自 IAM 用户或角色。因此，权限限于向您已担任其临时凭证的角色授予的权限。有关如何确定临时安全凭证的权限的更多信息，请参阅 控制临时安全凭证的权限。

如果您担任一个角色，您的角色会话可能受会话策略的限制。以编程方式使用 Amazon STS 请求临时安全凭证时，您可以选择传递内联或托管会话策略。会话策略是高级策略，在以编程方式为角色创建临时凭证会话时，这些策略将作为参数进行传递。您可以使用 Policy 参数传递单个 JSON 内联会话策略文档。您可以使用 PolicyArns 参数指定最多 10 个托管会话策略。生成的会话的权限是角色的基于身份的策略与会话策略的交集。或者，如果您的管理员或自定义程序为您提供临时凭证，它们可能已包含会话策略以限制您的访问。

如果您是联合身份用户，您的会话可能受会话策略的限制。您以 IAM 用户身份登录到 Amazon，然后请求联合令牌以成为联合身份用户。有关联合身份用户的更多信息，请参阅GetFederationToken – 通过自定义身份凭证代理程序进行联合身份验证。在请求联合令牌时，如果您或您的身份代理传递了会话策略，则您的会话受这些策略的限制。生成的会话的权限是您的 IAM 用户的基于身份的策略与会话策略的交集。有关会话策略的更多信息，请参阅会话策略。

如果您使用角色访问具有基于资源的策略的资源，则验证策略已授予该角色权限。例如，以下策略允许 MyRole 从账户 111122223333 访问 MyBucket。

{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "S3BucketPolicy",
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam::111122223333:role/MyRole"]},
    "Action": ["s3:PutObject"],
    "Resource": ["arn:aws:s3:::MyBucket/*"]
  }]
}

验证包含变量的所有策略（包括以下策略版本编号）："Version": "2012-10-17"。如果没有正确的版本编号，则在评估过程中不会更换变量。只会从字面上评估这些变量。如果您包含最新的版本号，则不包含变量的任何策略仍将起作用。

Version 策略元素与策略版本不同。Version 策略元素用在策略之中，用于定义策略语言的版本。另一方面，当您对 IAM 中的客户托管策略进行更改时，将创建一个策略版本。已更改的策略不会覆盖现有策略。而是由 IAM 创建新的托管策略版本。要了解 Version 策略元素的更多信息，请参阅IAM JSON 策略元素：Version。要了解策略版本的更多信息，请参阅IAM policy 版本控制。

验证您的策略变量为正确的大小写。有关详细信息，请参阅 IAM policy 元素：变量和标签。

Amazon DynamoDB：DynamoDB 常见问题中的什么是 Amazon DynamoDB 的一致性模型？和 Amazon DynamoDB 开发人员指南中的读取一致性。

Amazon EC2：Amazon EC2 API 参考中的 EC2 最终一致性。

Amazon EMR：Amazon 大数据博客中的 Ensuring Consistency When Using Amazon S3 and Amazon Elastic MapReduce for ETL Workflows

Amazon Redshift：Amazon Redshift 数据库开发人员指南中的管理数据一致性

Amazon S3：Amazon Simple Storage Service 用户指南中的 Amazon S3 数据一致性模型

Amazon CloudTrail 用户指南 - 使用 Amazon CloudTrail 可跟踪对 Amazon 进行的 API 调用的历史记录并将这些信息存储在日志文件中。这有助于确定访问了您账户中的资源的用户和账户、进行调用的时间、请求的操作等。有关更多信息，请参阅使用 Amazon CloudTrail 记录 IAM 和 Amazon STS API 调用。

Amazon 知识中心 – 查找常见问题解答和其他资源的链接，帮助您排查问题。

Amazon 支持中心 – 获取技术支持。

Amazon Premium Support 中心 – 获取高级技术支持。