本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对客户管理的密钥进行故障排除 Amazon IAM Identity Center
本主题介绍您在使用时可能遇到的与客户托管密钥相关的常见错误, Amazon IAM Identity Center 并提供了解决这些错误的故障排除步骤。
访问被拒绝:KMS 解密权限问题
错误:“用户 xxxxxxx 无权执行以下操作:对与此密文关联的资源进行 kms:解密,因为没有基于身份的策略允许解密操作” kms:
用户或 IAM 主体在其 IAM 策略或 KMS 密钥策略中缺少所需的 kms:Decrypt 权限。
使用 Amazon CloudTrail以下方法进行故障排除
在中查找
kms.amazonaws.com活动 CloudTrail搜索事件名称
Decrypt查看
errorCode和errorMessage字段检查
userIdentity以确认是哪个主体尝试了该操作
要解决此问题,请在该用户或 IAM 主体的 IAM 策略和 KMS 密钥策略中授予其 kms:Decrypt 访问权限。有关更多信息,请参阅 在 Amazon IAM Identity Center 中实施客户自主管理型 KMS 密钥。
Amazon 在 IAM 身份中心启用客户托管 KMS 密钥后,托管应用程序登录失败
如果没有身份中心用户可以登录 Amazon 托管应用程序,并且您在 IAM Identity Center 实例中启用了客户托管的 KMS 密钥,请验证 KMS 密钥策略是否授予 Amazon 托管应用程序使用客户托管的 KMS 密钥的权限。有关更多信息,请参阅 基线 KMS 密钥和 IAM 策略语句。
Amazon 在 IAM Identity Center 中启用客户托管 KMS 密钥后,托管应用程序安装 and/or 用户分配失败
错误:“用户 xxxxxxx 无权执行以下操作:对与此密文关联的资源进行 kms:解密,因为没有基于身份的策略允许解密操作” kms:
用户或 IAM 主体在其 IAM 策略或 KMS 密钥策略中缺少所需的 kms:Decrypt 权限。
使用 CloudTrail以下方法进行故障排除
搜索事件名称
Decrypt查看
errorCode和errorMessage字段检查
userIdentity以确认是哪个主体尝试了该操作
要解决此问题,请在该用户或 IAM 主体的 IAM 策略和 KMS 密钥策略中授予其 kms:Decrypt 访问权限。有关更多信息,请参阅 在 Amazon IAM Identity Center 中实施客户自主管理型 KMS 密钥。
KMS 权限问题:使用配置客户托管密钥 Amazon IAM Identity Center
在启用客户自主管理型密钥时,用户或 IAM 主体缺少一个或多个必需的 KMS 权限(kms:Decrypt、kms:Encrypt、kms:GenerateDataKey、kms:DescribeKey)。
使用 CloudTrail以下方法进行故障排除
搜索
Decrypt、Encrypt、GenerateDataKey或DescribeKey事件查看
errorCode和errorMessage字段检查
userIdentity以确认是哪个主体尝试了该操作
要解决此问题,请在其基于身份的策略或 KMS 密钥策略中向用户或 IAM 主体授予所有必需的 KMS 权限。有关更多信息,请参阅 在 Amazon IAM Identity Center 中实施客户自主管理型 KMS 密钥。
Amazon 在 IAM 身份中心启用客户托管 KMS 密钥后,访问门户登录失败
错误:“错误代码:0001- IdentityCenter 服务访问被阻止。请联系您的 IdentityCenter 管理员了解更多步骤。”
如果用户无法登录 Amazon 访问门户,并且您在 IAM Identity Center 实例中启用了客户托管的 KMS 密钥,请验证 KMS 密钥策略是否向身份中心和身份存储授予了必要的权限。有关更多信息,请参阅 基线 KMS 密钥和 IAM 策略语句。