本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对客户管理的密钥进行故障排除 Amazon IAM Identity Center
本主题介绍您在使用时可能遇到的与客户托管密钥相关的常见错误, Amazon IAM Identity Center 并提供了解决这些错误的故障排除步骤。
访问被拒绝:KMS 解密权限问题
错误:“用户 xxxxxxx 无权执行:对与此密文关联的资源进行 kms:解密,因为没有基于身份的策略允许解密操作” kms:
用户或 IAM 委托人缺少其 IAM 策略或 KMS 密钥策略中所需的kms:Decrypt权限。
使用 Amazon CloudTrail以下方法进行故障排除
在中查找
kms.amazonaws.com活动 CloudTrail搜索活动名称
Decrypt查看
errorCode和errorMessage字段检查
userIdentity以确认哪位委托人尝试了该操作
要解决此问题,请在用户或 IAM 委托人的 IAM 策略和 KMS 密钥策略中授予kms:Decrypt访问权限。有关更多信息,请参阅 在中实现客户托管的 KMS 密钥 Amazon IAM Identity Center。
Amazon 在 IAM 身份中心启用客户托管 KMS 密钥后,托管应用程序登录失败
如果没有身份中心用户可以登录 Amazon 托管应用程序,并且您在 IAM Identity Center 实例中启用了客户托管的 KMS 密钥,请验证 KMS 密钥策略是否授予 Amazon 托管应用程序使用客户托管的 KMS 密钥的权限。有关更多信息,请参阅 基准 KMS 密钥和 IAM 策略声明。
Amazon 在 IAM Identity Center 中启用客户托管 KMS 密钥后,托管应用程序安装 and/or 用户分配失败
错误:“用户 xxxxxxx 无权执行:对与此密文关联的资源进行 kms:解密,因为没有基于身份的策略允许解密操作” kms:
用户或 IAM 委托人缺少其 IAM 策略或 KMS 密钥策略中所需的kms:Decrypt权限。
使用 CloudTrail以下方法进行故障排除
搜索活动名称
Decrypt查看
errorCode和errorMessage字段检查
userIdentity以确认哪位委托人尝试了该操作
要解决此问题,请在用户或 IAM 委托人的 IAM 策略和 KMS 密钥策略中授予kms:Decrypt访问权限。有关更多信息,请参阅 在中实现客户托管的 KMS 密钥 Amazon IAM Identity Center。
KMS 权限问题:使用配置客户托管密钥 Amazon IAM Identity Center
启用客户托管密钥时,用户或 IAM 委托人缺少一个或多个所需的 KMS 权限(kms:Decryptkms:Encryptkms:GenerateDataKey、、、kms:DescribeKey)。
使用 CloudTrail以下方法进行故障排除
搜索
Decrypt、EncryptGenerateDataKey、或DescribeKey事件查看
errorCode和errorMessage字段检查
userIdentity以确认哪位委托人尝试了该操作
要解决此问题,请在基于身份的策略或 KMS 密钥策略中向用户或 IAM 委托人授予所有必需的 KMS 权限。有关更多信息,请参阅 在中实现客户托管的 KMS 密钥 Amazon IAM Identity Center。
Amazon 在 IAM 身份中心启用客户托管 KMS 密钥后,访问门户登录失败
错误:“错误代码:0001- IdentityCenter 服务访问被阻止。请联系您的 IdentityCenter 管理员了解更多步骤。”
如果用户无法登录 Amazon 访问门户,并且您在 IAM Identity Center 实例中启用了客户托管的 KMS 密钥,请验证 KMS 密钥策略是否向身份中心和身份存储授予了必要的权限。有关更多信息,请参阅 基准 KMS 密钥和 IAM 策略声明。