Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Fehlerbehebung in IAM
Nutzen Sie die hier aufgeführten Informationen, um häufige Probleme bei der Arbeit mit AWS Identity and Access Management (IAM) zu diagnostizieren und zu beheben.
**Topics**
+ [Ich kann mich nicht bei meinem Konto anmelden AWS](#troubleshoot_general_cant-sign-in)
+ [Ich habe meine Zugriffsschlüssel verloren](#troubleshoot_general_access-keys)
+ [Die Richtlinienvariablen funktionieren nicht](#troubleshoot_general_policy-variables-dont-work)
+ [Änderungen, die ich vornehme, sind nicht immer direkt sichtbar](#troubleshoot_general_eventual-consistency)
+ [Ich bin nicht berechtigt, Folgendes aufzuführen: iam: DeleteVirtual MFADevice](#troubleshoot_general_access-denied-delete-mfa)
+ [Wie erstelle ich sicher IAM-Benutzer?](#troubleshoot_general_securely-create-iam-users)
+ [Weitere Ressourcen](#troubleshoot_general_resources)
+ [Beheben von Fehlermeldungen bei verweigertem Zugriff](troubleshoot_access-denied.md)
+ [Behebung von Problemen mit dem Root-Benutzer](troubleshooting_root-user.md)
+ [Fehlerbehebung bei IAM-Richtlinien](troubleshoot_policies.md)
+ [Fehlerbehebung bei Passkeys und FIDO-Sicherheitsschlüsseln](troubleshoot_mfa-fido.md)
+ [Fehlerbehebung bei IAM-Rollen](troubleshoot_roles.md)
+ [Fehlerbehebung bei IAM und Amazon EC2](troubleshoot_iam-ec2.md)
+ [Fehlerbehebung bei IAM und Amazon S3](troubleshoot_iam-s3.md)
+ [Fehlerbehebung beim SAML-Verbund mit IAM](troubleshoot_saml.md)
## Ich kann mich nicht bei meinem Konto anmelden AWS
Stellen Sie sicher, dass Sie über die richtigen Anmeldeinformationen verfügen und dass Sie die richtige Methode verwenden, um sich anzumelden. Weitere Informationen finden Sie unter [Behebung von Anmeldefehlern](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html) im *AWS-Anmeldung -Benutzerhandbuch*.
## Ich habe meine Zugriffsschlüssel verloren
Die Zugriffsschlüssel bestehen aus zwei Teilen:
+ **Die Zugriffsschlüssel-ID**. Diese ID ist nicht geheim und kann in der IAM-Konsole dort eingesehen werden, wo Zugriffsschlüssel aufgelistet sind, wie z. B. auf der Übersichtsseite des Benutzers.
+ **Der geheime Zugriffsschlüssel**. Der geheime Zugriffsschlüssel wird bereitgestellt, wenn Sie zum ersten Mal das Zugriffsschlüsselpaar erstellen. Wie bei einem Passwort kann der Schlüssel ***später nicht mehr abgerufen werden***. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren, müssen Sie ein neues Zugriffsschlüsselpaar erstellen. Wenn Sie bereits über die [maximale Anzahl an Zugriffsschlüsseln](reference_iam-quotas.md#reference_iam-quotas-entities) verfügen, müssen Sie ein vorhandenes Schlüsselpaar löschen, bevor Sie ein anderes erstellen können.
Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren, müssen Sie den Zugriffsschlüssel löschen und einen neuen erstellen. Weitere Anweisungen finden Sie unter [Zugriffsschlüssel aktualisieren](id-credentials-access-keys-update.md).
## Die Richtlinienvariablen funktionieren nicht
Wenn Ihre Richtlinienvariablen nicht funktionieren, ist einer der folgenden Fehler aufgetreten:
**Das Datum im Element „Versionsrichtlinie“ ist falsch.**
Überprüfen Sie, ob für alle Richtlinien, die Variablen enthalten, die folgende Versionsnummer in der Richtlinie angegeben ist: `"Version": "2012-10-17"`. Ohne die korrekte Versionsnummer werden die Variablen während der Auswertung nicht ersetzt. Stattdessen werden die Variablen wörtlich ausgewertet. Richtlinien, die keine Variablen enthalten, funktionieren weiterhin, wenn Sie die neueste Versionsnummer angeben.
Das Richtlinienelement `Version` unterscheidet sich von einer Richtlinienversion. Das Richtlinienelement `Version` wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Eine Richtlinienversion wird erstellt, wenn Sie eine vom Kunden verwaltete Richtlinie in IAM ändern. Die vorhandene Richtlinie wird von der geänderten Richtlinie nicht überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie. Weitere Informationen zum Richtlinienelement `Version` finden Sie unter [IAM-JSON-Richtlinienelemente: Version](reference_policies_elements_version.md). Weitere Informationen zu den Richtlinienversionen finden Sie unter [Versioning von IAM-Richtlinien](access_policies_managed-versioning.md).
**Bei variablen Zeichen wird die falsche Groß- und Kleinschreibung verwendet.**
Überprüfen Sie, ob die Groß- und Kleinschreibung der Richtlinienvariablen richtig ist. Details hierzu finden Sie unter [IAM-Richtlinienelemente: Variablen und Tags](reference_policies_variables.md).
## Änderungen, die ich vornehme, sind nicht immer direkt sichtbar
Als Service, auf den Computer in weltweit angesiedelten Rechenzentren zugreifen, nutzt IAM ein verteiltes Computing-Modell namens [Eventual consistency](https://wikipedia.org/wiki/Eventual_consistency). Es dauert einige Zeit, bis alle Änderungen, die Sie an IAM (oder anderen AWS Diensten) vornehmen, einschließlich [ABAC-Tags (attribute-Based Access Control)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html), von allen möglichen Endpunkten aus sichtbar werden. Einige Verzögerungen ergeben sich aus der Zeit, die zum Senden von Daten von Server zu Server, von Replikationszone zu Replikationszone und von Region zu Region benötigt wird. IAM; verwendet darüber hinaus Zwischenspeicherungen zur Verbesserung der Leistung, doch in einigen Fällen kann dies Zeit hinzufügen. Die Änderung ist möglicherweise erst sichtbar, wenn die Zeit für die vorher zwischengespeicherten Daten abgelaufen ist.
Sie müssen Ihre globalen Anwendungen unter Berücksichtigung dieser potenziellen Verzögerungen konzipieren. Stellen Sie sicher, dass sie wie erwartet funktionieren, und zwar auch dann, wenn eine Änderung an einem Speicherort nicht sofort an einem anderen sichtbar ist. Solche Änderungen umfassen das Erstellen oder Aktualisieren von Benutzern, Gruppen, Rollen und Richtlinien. Wir empfehlen, solche IAM-Änderungen nicht in die kritischen, hochverfügbaren Code-Pfade Ihrer Anwendung aufzunehmen. Nehmen Sie IAM-Änderungen stattdessen in einer separaten Initialisierungs- oder Einrichtungsroutine vor, die seltener ausgeführt wird. Vergewissern Sie sich auch, dass die Änderungen weitergegeben wurden, bevor die Produktionsarbeitsabläufe davon abhängen.
Weitere Informationen darüber, wie einige andere AWS Dienste davon betroffen sind, finden Sie in den folgenden Ressourcen:
+ **Amazon DynamoDB**: [Lesekonsistenz](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.ReadConsistency.html) im *DynamoDB-Entwicklerhandbuch* und [Lesekonsistenz](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/HowItWorks.ReadConsistency.html) im Amazon DynamoDB-Entwicklerhandbuch.
+ **Amazon EC2**: [EC2-Eventual Consistency](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/query-api-troubleshooting.html#eventual-consistency) im *Amazon EC2 API-Referenz*.
+ **Amazon EMR**: [Sicherstellen der Konsistenz bei der Verwendung von Amazon S3 und Amazon EMR für ETL-Workflows](https://aws.amazon.com/blogs/big-data/ensuring-consistency-when-using-amazon-s3-and-amazon-elastic-mapreduce-for-etl-workflows/) im Big-Data-Blog von AWS
+ **Amazon Redshift**: [Verwalten der Datenkonsistenz](https://docs.aws.amazon.com/redshift/latest/dg/managing-data-consistency.html) im *Amazon Redshift Developerhandbuch*
+ **Amazon S3**: [Amazon-S3-Datenkonsistenzmodell](https://docs.aws.amazon.com//AmazonS3/latest/userguide/Welcome.html#ConsistencyModel) im *Benutzerhandbuch für Amazon Simple Storage Service*
## Ich bin nicht berechtigt, Folgendes aufzuführen: iam: DeleteVirtual MFADevice
Möglicherweise erhalten Sie die folgende Fehlermeldung, wenn Sie versuchen, ein virtuelles MFA-Gerät für sich selbst oder andere zuzuweisen oder zu entfernen:
```
User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny
```
Dies kann passieren, wenn jemand zuvor damit begonnen hat, ein virtuelles MFA-Gerät zu einem Benutzer in der IAM-Konsole zuzuweisen und den Vorgang abgebrochen hat. Dadurch wird ein MFA-Gerät für den Benutzer in IAM erstellt, aber diesem niemals zugeordnet. Löschen Sie das vorhandene virtuelle MFA-Gerät, bevor Sie ein neues virtuelles MFA-Gerät mit demselben Gerätenamen erstellen.
Zur Behebung des Problems sollte ein Administrator **keine** Richtlinienberechtigungen bearbeiten. Stattdessen muss der Administrator die AWS API AWS CLI oder verwenden, um das vorhandene, aber nicht zugewiesene virtuelle MFA-Gerät zu löschen.
**So löschen Sie ein vorhandenes, aber nicht zugeordnetes virtuelles MFA-Gerät**
1. Zeigen Sie die virtuellen MFA-Geräte in Ihrem Konto an.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html)
1. Suchen Sie in der Antwort den ARN des virtuellen MFA-Geräts für den Benutzer, für den Sie eine Korrektur vornehmen möchten.
1. Löschen Sie das virtuelle MFA-Gerät.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html)
## Wie erstelle ich sicher IAM-Benutzer?
Wenn Sie Mitarbeiter haben, auf die Sie Zugriff benötigen AWS, können Sie IAM-Benutzer erstellen oder [IAM Identity Center für die Authentifizierung verwenden](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Wenn Sie IAM verwenden, AWS empfiehlt Ihnen, einen IAM-Benutzer zu erstellen und die Anmeldeinformationen dem Mitarbeiter auf sichere Weise mitzuteilen. Wenn Sie sich nicht physisch neben Ihrem Mitarbeiter befinden, verwenden Sie einen sicheren Workflow, um den Mitarbeitern Anmeldeinformationen zu übermitteln.
Verwenden Sie den folgenden sicheren Workflow, um einen neuen Benutzer in IAM zu erstellen:
1. [Erstellen Sie einen neuen Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) mit der AWS-Managementkonsole. Wählen Sie, ob Sie den AWS-Managementkonsole Zugriff mit einem generierten Passwort gewähren möchten. Aktivieren Sie ggf. das Kontrollkästchen **Benutzer müssen bei der nächsten Anmeldung ein neues Passwort erstellen**. Fügen Sie dem Benutzer erst dann eine Berechtigungsrichtlinie hinzu, nachdem er sein Passwort geändert hat.
1. Nachdem der Benutzer hinzugefügt wurde, kopieren Sie die Anmelde-URL, den Benutzernamen und das Passwort für den neuen Benutzer. Um das Passwort anzuzeigen, wählen Sie **Anzeigen**.
1. Senden Sie das Passwort an Ihren Mitarbeiter mit einer sicheren Kommunikationsmethode in Ihrem Unternehmen, wie E-Mail, Chat oder einem Ticketsystem. Geben Sie Ihren Benutzern separat den Link zur IAM-Benutzerkonsole und ihren Benutzernamen an. Sagen Sie dem Mitarbeiter, dass er bestätigen soll, dass er sich erfolgreich anmelden kann, bevor Sie ihm Berechtigungen erteilen.
1. Nachdem der Mitarbeiter dies bestätigt hat, fügen Sie die erforderlichen Berechtigungen hinzu. Fügen Sie als bewährte Methode für die Sicherheit eine Richtlinie hinzu, die erfordert, dass sich der Benutzer mit MFA authentifiziert, um seine Anmeldeinformationen zu verwalten. Eine Beispielrichtlinie finden Sie unter [AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite Sicherheits-Anmeldeinformationen zu verwalten](reference_policies_examples_aws_my-sec-creds-self-manage.md).
## Weitere Ressourcen
Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS.
+ **[AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)** — Wird verwendet AWS CloudTrail , um den Verlauf von API-Aufrufen nachzuverfolgen AWS und diese Informationen in Protokolldateien zu speichern. Auf diese Weise können Sie einfacher bestimmen, welche Benutzer und Konten auf Ressourcen in Ihrem Konto zugegriffen haben, wann die Aufrufe erfolgten, welche Aktionen angefordert wurden, und vieles mehr. Weitere Informationen finden Sie unter [Protokollierung von IAM- und AWS STS API-Aufrufen mit AWS CloudTrail](cloudtrail-integration.md).
+ **[AWS Knowledge Center](https://aws.amazon.com/premiumsupport/knowledge-center/)** — Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.
+ **[AWS Support Center](https://console.aws.amazon.com/support/home#/)** — Holen Sie sich technischen Support.
+ **[AWS Premium Support Center](https://aws.amazon.com/premiumsupport/)** — Holen Sie sich erstklassigen technischen Support.
# Beheben von Fehlermeldungen bei verweigertem Zugriff
Die folgenden Informationen können Ihnen helfen, Fehler mit Zugriffsverweigerung zu identifizieren, zu diagnostizieren und zu beheben AWS Identity and Access Management. Fehler „Zugriff verweigert“ treten auf, wenn eine Autorisierungsanfrage AWS explizit oder implizit verweigert wird.
+ Eine *ausdrückliche Ablehnung liegt* vor, wenn eine Richtlinie eine `Deny` Anweisung für die spezifische Aktion enthält. AWS
+ Eine *implizite Verweigerung* tritt auf, wenn es keine entsprechende `Deny`-Anweisung, aber auch keine anwendbare `Allow`-Anweisung gibt. Da eine IAM-Richtlinie einen IAM-Prinzipal standardmäßig verweigert, muss die Richtlinie dem Prinzipal ausdrücklich erlauben, eine Aktion auszuführen. Andernfalls verweigert die Richtlinie implizit den Zugriff. Weitere Informationen finden Sie unter [Der Unterschied zwischen expliziten und impliziten Zugriffsverweigerungen](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md).
Wenn Sie eine Anfrage an einen Service oder eine Ressource stellen, gelten möglicherweise mehrere Richtlinien für die Anfrage. Überprüfen Sie zusätzlich zu der in der Fehlermeldung angegebenen Richtlinie alle geltenden Richtlinien.
+ Wenn mehrere Richtlinien desselben Richtlinientyps eine Anfrage ablehnen, wird in der Fehlermeldungen bei verweigertem Zugriff nicht die Anzahl der ausgewerteten Richtlinien angegeben.
+ Wenn mehrere Richtlinientypen eine Autorisierungsanfrage ablehnen AWS , wird nur einer dieser Richtlinientypen in die Fehlermeldung aufgenommen.
**Wichtig**
**Haben Sie Probleme bei der Anmeldung AWS?** Stellen Sie sicher, dass Sie sich auf der richtigen [AWS -Anmeldeseite](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) für Ihren Benutzertyp befinden. Wenn Sie der Root-Benutzer des AWS-Kontos (Kontoinhaber) sind, können Sie sich AWS mit den Anmeldeinformationen anmelden, die Sie bei der Erstellung des eingerichtet haben AWS-Konto. Wenn Sie IAM-Benutzer sind, kann Ihnen Ihr Kontoadministrator die AWS -Anmeldeinformationen bereitstellen. Wenn Sie Support anfordern müssen, verwenden Sie nicht den Feedback-Link auf dieser Seite. Das Formular geht beim AWS Dokumentationsteam ein, nicht Support. Wählen Sie stattdessen auf der [Kontaktseite](https://aws.amazon.com/contact-us/) die Option **Immer noch nicht in Ihrem AWS Konto angemeldet** werden und wählen Sie dann eine der verfügbaren Support-Optionen aus.
## Ich erhalte die Meldung „Zugriff verweigert“, wenn ich eine Anfrage an einen AWS Dienst stelle
+ Prüfen Sie, ob die Fehlermeldung den Typ und den [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) der Richtlinie enthält, die für die Zugriffsverweigerung verantwortlich ist. Wenn dies der Fall ist, suchen Sie in der angegebenen Richtlinie nach Verweigerungserklärungen für die Aktion. Wenn der Richtlinientyp angegeben wird, aber kein Richtlinien-ARN vorhanden ist, konzentrieren Sie sich auf die Behebung von Problemen für diesen Richtlinientyp: Suchen Sie in Richtlinien des angegebenen Typs nach Ablehnungsaussagen für die Aktion. Wenn in der Fehlermeldung der Richtlinientyp, der für die Verweigerung des Zugriffs verantwortlich ist, nicht erwähnt wird, verwenden Sie die restlichen Richtlinien in diesem Abschnitt, um weitere Probleme zu beheben.
+ Stellen Sie sicher, dass Sie über die identitätsbasierten Richtlinienberechtigungen zum Aufrufen der Aktion und Ressource verfügen, die Sie angefordert haben. Wenn Bedingungen definiert sind, müssen Sie diese Bedingungen beim Senden der Anforderung ebenfalls erfüllen. Weitere Informationen zum Anzeigen oder Ändern von Richtlinien für einen IAM-Benutzer, einer -Gruppe oder -Rolle finden Sie unter [Verwalten von IAM-Richtlinien](access_policies_manage.md).
+ Wenn eine Meldung AWS-Managementkonsole zurückgegeben wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen oder Anmelde-Link zur Verfügung gestellt.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson`-IAM-Benutzer versucht, die Konsole zum Anzeigen von Details zu einem `my-example-widget` zu verwenden, jedoch nicht über `widgets:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: widgets:GetWidget on resource: my-example-widget
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `my-example-widget` auf die Ressource `widgets:GetWidget` zugreifen zu können.
+ Versuchen Sie, auf einen Service zuzugreifen, der [Ressourcenbasierte Richtlinien](access_policies_identity-vs-resource.md) wie Amazon S3, Amazon SNS oder Amazon SQS unterstützt? Wenn dies der Fall ist, stellen Sie sicher, dass Sie in der Ressourcenrichtlinie als Auftraggeber aufgeführt sind und Ihnen Zugriff erteilt wurde. Wenn Sie eine Anfrage an einen Service innerhalb Ihres Kontos machen, können Ihnen entweder Ihre identitätsbasierte Richtlinien oder die ressourcenbasierten Richtlinien Berechtigung erteilen. Wenn Sie eine Anfrage an einen Service in einem anderen Kontos machen, dann müssen Ihnen sowohl Ihre identitätsbasierte Richtlinien als auch die ressourcenbasierten Richtlinien die Berechtigung erteilen. Informationen dazu, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).
+ Wenn Ihre Richtlinie eine Bedingung mit einem Schlüssel-Wert-Paar umfasst, überprüfen Sie sie sorgfältig. Beispiele hierfür sind der [`aws:RequestTag/tag-key`](reference_policies_condition-keys.md)globale Bedingungsschlüssel AWS KMS [kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context](kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context), der und der `ResourceTag/tag-key` Bedingungsschlüssel, die von mehreren Diensten unterstützt werden. Stellen Sie sicher, dass der Schlüsselname nicht mit mehreren Ergebnissen übereinstimmt. Da bei Bedingungsschlüsselnamen die Groß-/Kleinschreibung nicht berücksichtigt wird, gibt eine Bedingung, die nach einem Schlüssel namens `foo` sucht, `foo`, `Foo` oder `FOO`. Wenn Ihre Anforderung mehrere Schlüssel-Wert-Paare mit Schlüsselnamen enthält, die sich nur durch die Groß- und Kleinschreibung unterscheiden, wird der Zugriff möglicherweise unerwartet verweigert. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Condition](reference_policies_elements_condition.md).
+ Wenn Sie eine [Berechtigungsgrenze](access_policies_boundaries.md) haben, überprüfen Sie, ob die für die Berechtigungsgrenze verwendete Richtlinie Ihre Anfrage zulässt. Wenn Ihre identitätsbasierten Richtlinien die Anforderung zulassen, Ihre Berechtigungsgrenze dies jedoch nicht tut, wird die Anforderung abgelehnt. Eine Berechtigungsgrenze bestimmt die maximalen Berechtigungen, die ein IAM-Auftraggeber (Benutzer oder Rolle) haben kann. Ressourcenbasierte Richtlinien werden nicht von Berechtigungsgrenzen beschränkt. Berechtigungsgrenzen sind nicht allgemein üblich. Weitere Informationen darüber, wie Richtlinien AWS bewertet werden, finden Sie unter[Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md).
+ Wenn Sie Anfragen manuell signieren (ohne das zu verwenden [AWS SDKs](https://aws.amazon.com/developer/tools/)), stellen Sie sicher, dass Sie [die Anfrage korrekt signiert](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html) haben.
+ Wenn Sie eine [Amazon-VPC-Endpunktrichtlinie](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html) verwenden und eine Fehlermeldung erhalten, dass der Zugriff verweigert wurde, die in AWS CloudTrail nicht protokolliert wird, könnte dies daran liegen, dass sich das Konto des VPC-Endpunktbesitzers vom aufrufenden Konto oder vom Zielrollenkonto unterscheidet.
## Ich erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage mit temporären Sicherheitsanmeldeinformationen stelle
+ Stellen Sie zunächst sicher, dass der Zugriff nicht aus einem Grund verweigert wird, der nicht mit Ihren temporären Anmeldeinformationen in Verbindung steht. Weitere Informationen finden Sie unter [Ich erhalte die Meldung „Zugriff verweigert“, wenn ich eine Anfrage an einen AWS Dienst stelle](#troubleshoot_general_access-denied-service).
+ Überprüfen Sie, dass der Service temporäre Sicherheitsanmeldeinformationen zulässt. Informationen dazu finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).
+ Stellen Sie sicher, dass Ihre Anfragen korrekt signiert sind und die Anfrage richtig aufgebaut ist. Weitere Informationen finden Sie in der Dokumentation zum [Toolkit](https://aws.amazon.com/developer/tools/) oder unter [Verwenden Sie temporäre Anmeldeinformationen mit AWS Ressourcen](id_credentials_temp_use-resources.md).
+ Stellen Sie sicher, dass die temporären Sicherheitsanmeldeinformationen nicht abgelaufen sind. Weitere Informationen finden Sie unter [Temporäre IAM Sicherheitsanmeldeinformationen](id_credentials_temp.md).
+ Überprüfen Sie, ob der IAM-Benutzer oder die IAM-Rolle über die richtigen Berechtigungen verfügt. Berechtigungen für temporäre Sicherheitsanmeldeinformationen werden von einem IAM-Benutzer oder einer Rolle abgeleitet. Dies hat zur Folge, dass die Berechtigungen auf diejenigen beschränkt sind, die der Rolle gewährt werden, deren temporäre Anmeldeinformationen Sie angenommen haben. Weitere Informationen zum Festlegen von Berechtigungen in temporären Sicherheitsanmeldeinformationen finden Sie unter [Berechtigungen für temporäre Sicherheits-Anmeldeinformationen](id_credentials_temp_control-access.md).
+ Wenn Sie eine Rolle übernommen haben, wird Ihre Rollensitzung möglicherweise durch Sitzungsrichtlinien eingeschränkt. Wenn Sie [temporäre Sicherheitsanmeldedaten programmgesteuert anfordern](id_credentials_temp_request.md) AWS STS, können Sie optional Inline- oder verwaltete [Sitzungsrichtlinien](access_policies.md#policies_session) übergeben. Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie programmgesteuert eine Sitzung mit temporären Anmeldeinformationen für eine Rolle erstellen. Sie können ein einzelnes JSON-Inline-Sitzungsrichtliniendokument mit dem `Policy`-Parameter übergeben. Sie können mit dem Parameter `PolicyArns` bis zu 10 verwaltete Sitzungsrichtlinien angeben. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des Benutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien. Es kann auch sein, dass, wenn Ihr Administrator oder ein benutzerdefiniertes Programm Ihnen temporäre Anmeldeinformationen bereitstellt, bereits eine Sitzungsrichtlinie zum Einschränken Ihres Zugriffs enthalten ist.
+ Wenn Sie ein AWS STS Verbundbenutzerprinzipal sind, ist Ihre Sitzung möglicherweise durch Sitzungsrichtlinien eingeschränkt. Sie erstellen eine Verbundbenutzersitzung, indem Sie sich AWS als IAM-Benutzer anmelden und dann ein Verbund-Token anfordern. Weitere Informationen finden Sie unter [Anfordern von Anmeldeinformationen über einen benutzerdefinierten Identity Broker](id_credentials_temp_request.md#api_getfederationtoken). Wenn Sie oder Ihr Identity Broker während der Anforderung eines Verbund-Tokens Sitzungsrichtlinien übergeben haben, wird Ihre Sitzung durch diese Richtlinien beschränkt. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des IAM-Benutzers basierenden Richtlinien und der Sitzungsrichtlinien. Weitere Informationen zu Sitzungsrichtlinien finden Sie unter [Sitzungsrichtlinien](access_policies.md#policies_session).
+ Wenn Sie auf eine Ressource mit einer ressourcenbasierten Richtlinie über eine Rolle zugreifen, überprüfen Sie, ob die Richtlinie der Rolle Berechtigungen erteilt. Die folgende Richtlinie beispielsweise erteilt `MyRole` im Konto `111122223333` die Zugriffsberechtigung auf `amzn-s3-demo-bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "S3BucketPolicy",
"Effect": "Allow",
"Principal": {"AWS": ["arn:aws:iam::111122223333:role/MyRole"]},
"Action": ["s3:PutObject"],
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
}]
}
```
------
## Beispiele für Zugriffsverweigerungs-Fehlermeldungen
Die meisten Zugriffsverweigerungs-Fehlermeldungen haben das Format `User user is not authorized to perform action on resource because context`. In diesem Beispiel *user* ist dies der ARN des Prinzipals, dem der Zugriff verweigert wurde, *action* die Dienstaktion, die die Richtlinie verweigert, und der ARN der Ressource, für die die Richtlinie *resource* gilt. Das *context* Feld bietet zusätzlichen Kontext zu dem Richtlinientyp, der den Zugriff verweigert hat. In einigen Fällen enthält es auch den ARN der Richtlinie, die den Zugriff verweigert hat.
Wenn eine Richtlinie den Zugriff ausdrücklich verweigert, weil die Richtlinie eine `Deny` Erklärung enthält, wird AWS der Ausdruck `with an explicit deny in a type policy` in die Fehlermeldung „Zugriff verweigert“ aufgenommen. Dieser Satz kann auch den ARN der Richtlinie wie folgt angeben:`with an explicit deny in a type policy: policy ARN`.
Wenn die Richtlinie implizit den Zugriff verweigert, wird der Ausdruck AWS `because no type policy allows the action action` in die Fehlermeldung „Zugriff verweigert“ aufgenommen.
**Anmerkung**
Einige AWS Dienste unterstützen dieses Format für die Fehlermeldung „Zugriff verweigert“ nicht. Der Inhalt der Fehlermeldungen bei verweigertem Zugriff kann je nach Service, der die Autorisierungsanforderung stellt, variieren.
Die folgenden Beispiele zeigen das Format für verschiedene Arten von Zugriffsverweigerungs-Fehlermeldungen.
### Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – implizite Verweigerung
1. Suchen Sie in Ihren Dienststeuerungsrichtlinien nach einer fehlenden `Allow` Angabe für die Aktion (SCPs). Für das folgende Beispiel lautet die Aktion `codecommit:ListRepositories`.
1. Aktualisieren Sie Ihre SCP, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [-Over-the-Air-Updates](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy) im *AWS Organizations -Leitfaden*.
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no service control policy allows the codecommit:ListRepositories action
```
### Zugriffsverweigerung aufgrund einer Service-Kontrollrichtlinie – explizite Verweigerung
1. Wenn in der Fehlermeldung ein Richtlinien-ARN angegeben wird, suchen Sie in der angegebenen Service Control Policy (SCP) nach einer `Deny` Anweisung für die Aktion. Im folgenden Beispiel lautet `codecommit:ListRepositories` die Aktion.
1. Wenn in der Fehlermeldung kein Richtlinien-ARN angegeben ist, suchen Sie in Ihrem nach einer `Deny` Erklärung für die Aktion SCPs.
1. Aktualisieren Sie Ihren SCP, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Aktualisieren einer Service Control Policy (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy).
Fehlermeldung mit einem Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
with an explicit deny in a service control policy: arn:aws:organizations::777788889999:policy/o-exampleorgid/service_control_policy/p-examplepolicyid123
```
Fehlermeldung ohne Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
with an explicit deny in a service control policy
```
### Zugriff aufgrund einer Ressourcenkontrollrichtlinie verweigert – explizite Verweigerung
1. Wenn in der Fehlermeldung ein Richtlinien-ARN angegeben wird, suchen Sie in der angegebenen Resource Control Policy (RCP) nach einer `Deny` Anweisung für die Aktion. Im folgenden Beispiel lautet `secretsmanager:GetSecretValue` die Aktion.
1. Wenn in der Fehlermeldung kein Richtlinien-ARN angegeben ist, suchen Sie in Ihrem nach einer `Deny` Erklärung für die Aktion RCPs.
1. Aktualisieren Sie Ihre RCP, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Aktualisieren einer Resource Control Policy (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy-rcp).
Fehlermeldung mit einem Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource control policy: arn:aws:organizations::777788889999:policy/o-exampleorgid/resource_control_policy/p-examplepolicyid456
```
Fehlermeldung ohne Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource control policy
```
### Zugriff aufgrund einer VPC-Endpunktrichtlinie verweigert – implizite Ablehnung
1. Überprüfen Sie in Ihren Virtual Private Cloud (VPC)-Endpunktrichtlinien, ob eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `codecommit:ListRepositories`.
1. Aktualisieren Sie Ihre VPC-Endpunktrichtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Aktualisieren einer VPC-Endpunktrichtlinie](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) im *AWS PrivateLink -Handbuch*.
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no VPC endpoint policy allows the codecommit:ListRepositories action
```
### Zugriff aufgrund einer VPC-Endpunktrichtlinie verweigert – explizite Ablehnung
1. Überprüfen Sie, ob in Ihren Virtual Private Cloud (VPC)-Endpunktrichtlinien eine explizite `Deny`-Anweisung für die Aktion vorhanden ist. Für das folgende Beispiel lautet die Aktion `codedeploy:ListDeployments`.
1. Aktualisieren Sie Ihre VPC-Endpunktrichtlinie, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie unter [Aktualisieren einer VPC-Endpunktrichtlinie](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) im *AWS PrivateLink -Handbuch*.
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a VPC endpoint policy
```
### Zugriff aufgrund einer Berechtigungsgrenze verweigert – implizite Ablehnung
1. Überprüfen Sie, ob in Ihrer Berechtigungsgrenze eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `codedeploy:ListDeployments`.
1. Aktualisieren Sie Ihre Berechtigungsgrenze, indem Sie die `Allow`-Anweisung zu Ihrer IAM-Richtlinie hinzufügen. Weitere Informationen erhalten Sie unter [Berechtigungsgrenzen für IAM-Entitäten](access_policies_boundaries.md) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
because no permissions boundary allows the codedeploy:ListDeployments action
```
### Zugriff aufgrund einer Berechtigungsgrenze verweigert – explizite Ablehnung
1. Wenn in der Fehlermeldung ein Richtlinien-ARN angegeben wird, suchen Sie nach einer `Deny` Anweisung für die Aktion in der angegebenen Berechtigungsgrenze. Im folgenden Beispiel lautet die Aktion`sagemaker:ListModels`.
1. Wenn in der Fehlermeldung kein Richtlinien-ARN angegeben ist, suchen Sie in der dem Prinzipal zugewiesenen Berechtigungsgrenze nach einer `Deny` Anweisung für die Aktion.
1. Aktualisieren Sie Ihre Berechtigungsgrenze, indem Sie die `Deny`-Anweisung aus Ihrer IAM-Richtlinie entfernen. Weitere Informationen erhalten Sie unter [Berechtigungsgrenzen für IAM-Entitäten](access_policies_boundaries.md) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
Fehlermeldung mit einem Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sagemaker:ListModels
with an explicit deny in a permissions boundary: arn:aws:iam::123456789012:policy/DeveloperPermissionBoundary
```
Fehlermeldung ohne Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sagemaker:ListModels
with an explicit deny in a permissions boundary
```
### Zugriff aufgrund von Sitzungsrichtlinien verweigert – implizite Ablehnung
1. Überprüfen Sie, ob in Ihren Sitzungsrichtlinien eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `codecommit:ListRepositories`.
1. Aktualisieren Sie Ihre Sitzungsrichtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codecommit:ListRepositories
because no session policy allows the codecommit:ListRepositories action
```
### Zugriff aufgrund von Sitzungsrichtlinien verweigert – explizite Ablehnung
1. Wenn in der Fehlermeldung ein Richtlinien-ARN angegeben wird, suchen Sie in der angegebenen Sitzungsrichtlinie nach einer `Deny` Anweisung für die Aktion. Im folgenden Beispiel lautet die Aktion`codedeploy:ListDeployments`.
1. Wenn in der Fehlermeldung kein Richtlinien-ARN angegeben ist, suchen Sie in Ihren Sitzungsrichtlinien nach einer `Deny` Erklärung für die Aktion.
1. Aktualisieren Sie Ihre Sitzungsrichtlinie, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
Fehlermeldung mit einem Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a session policy: arn:aws:iam::123456789012:policy/DeveloperSessionPolicy
```
Fehlermeldung ohne Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in a session policy
```
### Zugriff aufgrund ressourcenbasierter Richtlinien verweigert – implizite Ablehnung
1. Überprüfen Sie, ob in Ihrer ressourcenbasierten Richtlinie eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `secretsmanager:GetSecretValue`.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
because no resource-based policy allows the secretsmanager:GetSecretValue action
```
### Zugriff aufgrund ressourcenbasierter Richtlinien verweigert – explizite Ablehnung
1. Suchen Sie nach einer expliziten `Deny`-Anweisung für die Aktion in Ihrer ressourcenbasierten Richtlinie. Für das folgende Beispiel lautet die Aktion `secretsmanager:GetSecretValue`.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: secretsmanager:GetSecretValue
on resource: arn:aws:secretsmanager:us-east-1:123456789012:secret:*
with an explicit deny in a resource-based policy
```
### Zugriff aufgrund von Rollenvertrauensrichtlinien verweigert – implizite Verweigerung
1. Überprüfen Sie, ob in Ihrer Rollenvertrauensrichtlinien eine `Allow`-Anweisung für die Aktion fehlt. Für das folgende Beispiel lautet die Aktion `sts:AssumeRole`.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sts:AssumeRole
because no role trust policy allows the sts:AssumeRole action
```
### Zugriff aufgrund von Rollenvertrauensrichtlinien verweigert – explizite Ablehnung
1. Überprüfen Sie, ob in Ihrer Rollenvertrauensrichtlinie eine explizite `Deny`-Anweisung für die Aktion enthalten ist. Für das folgende Beispiel lautet die Aktion `sts:AssumeRole`.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:user/John is not authorized to perform: sts:AssumeRole
with an explicit deny in the role trust policy
```
### Zugriff aufgrund identitätsbasierter Richtlinien verweigert – implizite Verweigerung
1. Überprüfen Sie ob in identitätsbasierten Richtlinien, die der Identität angefügt sind, eine `Allow`-Anweisung für die Aktion fehlt. Im folgenden Beispiel ist die Aktion `codecommit:ListRepositories` der Rolle `HR` zugeordnet.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Allow`-Anweisung hinzufügen. Weitere Informationen finden Sie unter [Identitätsbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codecommit:ListRepositories
because no identity-based policy allows the codecommit:ListRepositories action
```
### Zugriff aufgrund identitätsbasierter Richtlinien verweigert – explizite Ablehnung
1. Wenn in der Fehlermeldung ein Richtlinien-ARN angegeben wird, suchen Sie in der angegebenen Richtlinie nach einer `Deny` Anweisung für die Aktion. Im folgenden Beispiel lautet die Aktion`codedeploy:ListDeployments`.
1. Wenn in der Fehlermeldung kein Richtlinien-ARN angegeben ist, suchen Sie in identitätsbasierten Richtlinien, die mit der Identität verknüpft sind, nach einer `Deny` Erklärung für die Aktion.
1. Aktualisieren Sie Ihre Richtlinie, indem Sie die `Deny`-Anweisung entfernen. Weitere Informationen finden Sie unter [Identitätsbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
Fehlermeldung mit einem Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in an identity-based policy: arn:aws:iam::123456789012:policy/HRAccessPolicy
```
Fehlermeldung ohne Richtlinien-ARN:
```
User: arn:aws:iam::123456789012:role/HR is not authorized to perform: codedeploy:ListDeployments
on resource: arn:aws:codedeploy:us-east-1:123456789012:deploymentgroup:*
with an explicit deny in an identity-based policy
```
# Behebung von Problemen mit dem Root-Benutzer
Verwenden Sie die hier aufgeführten Informationen, um Probleme im Zusammenhang mit dem Root-Benutzer eines AWS-Konto zu beheben.
**Anmerkung**
AWS-Konten Bei verwalteter Nutzung ist AWS Organizations möglicherweise der [zentrale Root-Zugriff](id_root-user.md#id_root-user-access-management) für Mitgliedskonten aktiviert. Diese Mitgliedskonten verfügen nicht über die Anmeldeinformationen als Root-Benutzer, können sich nicht als Root-Benutzer anmelden und können das Root-Benutzer-Passwort nicht wiederherstellen. Wenden Sie sich an Ihren Administrator, wenn Sie eine Aufgabe ausführen müssen, für die Anmeldeinformationen eines Root-Benutzers erforderlich sind.
## Ich kann keine Aufgaben ausführen, die ich erwarte, wenn ich als Root-Benutzer des Kontos angemeldet bin
Ihr Konto ist möglicherweise Mitglied einer Organisation in AWS Organizations. Ihr Organisationsadministrator verfügt möglicherweise über eine Service Control Policy (SCP), um die Berechtigungen Ihres Kontos einzuschränken. SCPs wirkt sich auf alle Benutzer aus, auch auf den Root-Benutzer. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) im *AWS Organizations -Benutzerhandbuch*.
## Ich habe das Root-Benutzerpasswort für meinen vergessen AWS-Konto
Wenn Sie ein Root-Benutzer und das Passwort für Ihr AWS-Konto verloren oder vergessen haben, können Sie Ihr Passwort zurücksetzen. Sie müssen die E-Mail-Adresse kennen, mit der das erstellt wurde AWS-Konto, und Sie müssen Zugriff auf das E-Mail-Konto haben. Weitere Informationen finden Sie unter [Verlorenes oder vergessenes Root-Benutzer-Passwort zurücksetzen](reset-root-password.md).
## Ich habe keinen Zugriff auf die E-Mail für meine AWS-Konto
Wenn Sie eine erstellen AWS-Konto, geben Sie eine E-Mail-Adresse und ein Passwort an. Dies sind die Anmeldeinformationen für den Root-Benutzer des AWS-Kontos. Wenn Sie sich nicht sicher sind, welche E-Mail-Adresse mit Ihrer verknüpft ist AWS-Konto, suchen Sie nach Nachrichten, die von `@signin.aws` oder `@verify.signin.aws` an eine E-Mail-Adresse Ihrer Organisation gesendet wurden, die möglicherweise zum Öffnen von verwendet wurde AWS-Konto.
Wenn Sie die E-Mail-Adresse kennen, aber keinen Zugriff mehr auf die E-Mail haben, versuchen Sie, den Zugriff auf die E-Mail wiederherzustellen. Verwenden Sie eine der folgenden Optionen, um den Zugriff auf Ihre E-Mails wiederherzustellen:
+ Wenn Sie Eigentümer der Domain für die E-Mail-Adresse sind, können Sie eine gelöschte E-Mail-Adresse wiederherstellen. Alternativ können Sie auch ein Catch-All für Ihr E-Mail-Konto einrichten. Ein Sammelpostfach erfasst alle Nachrichten, die an E-Mail-Adressen gesendet werden, die auf dem Mail-Server nicht mehr vorhanden sind, und leitet sie an eine andere E-Mail-Adresse weiter.
+ Wenn die E-Mail-Adresse des Kontos Teil Ihres Unternehmens-E-Mail-Systems ist, empfehlen wir Ihnen, sich mit Ihren IT-Systemadministratoren in Verbindung zu setzen. Sie können Ihnen vielleicht helfen, den Zugriff auf die E-Mail wiederherzustellen.
Falls Sie sich immer noch nicht bei Ihrem anmelden können AWS-Konto, finden Sie alternative Supportoptionen unter [Kontaktieren Sie uns](https://aws.amazon.com/contact-us/).
# Fehlerbehebung bei IAM-Richtlinien
Eine [Richtlinie](access_policies.md) ist eine Entität, AWS die, wenn sie an eine Identität oder Ressource angehängt wird, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Principal, z. B. ein Benutzer, eine Anfrage stellt. Die Berechtigungen in den Richtlinien legen fest, ob eine Anforderung zugelassen oder abgelehnt wird. *Richtlinien werden in Form von JSON-Dokumenten gespeichert, die AWS als *identitätsbasierte Richtlinien an Prinzipale oder als ressourcenbasierte Richtlinien* an Ressourcen angehängt werden.* Sie können eine identitätsbasierte Richtlinie an einen Auftraggeber (oder eine Identität) anfügen – z. B. eine IAM-Gruppe, einen Benutzer oder eine Rolle. Zu identitätsbasierten Richtlinien gehören verwaltete AWS -Richtlinien, kundenverwaltete Richtlinien und eingebundene Richtlinien. **Sie können vom Kunden verwaltete Richtlinien in den AWS-Managementkonsole Editor-Optionen **Visual** und JSON erstellen und bearbeiten.** Wenn Sie sich eine Richtlinie in der ansehen AWS-Managementkonsole, können Sie eine Zusammenfassung der Berechtigungen sehen, die durch diese Richtlinie gewährt werden. Sie können den visuellen Editor und die Richtlinienübersicht zur Diagnose und Behebung allgemeiner Fehler nutzen, die beim Verwalten von IAM-Richtlinien auftreten können.
Beachten Sie, dass alle IAM-Richtlinien mithilfe einer Syntax gespeichert werden, die mit den Regeln der [JavaScript Object Notation](http://www.json.org) (JSON) beginnt. Sie müssen diese Syntax nicht verstehen, um Richtlinien erstellen und verwalten zu können. Sie können eine Richtlinie mithilfe des visuellen Editors in der AWS-Managementkonsole erstellen und bearbeiten. Weitere Informationen zur JSON-Syntax in IAM-Richtlinien finden Sie unter [Grammatik der IAM-JSON-Richtliniensprache](reference_policies_grammar.md).
**Fehlerbehebung bei IAM-Richtlinien**
+ [Fehlerbehebung mit dem visuellen Editor](#troubleshoot_policies-viseditor)
+ [Umstrukturierung einer Richtlinie](#troubleshoot_viseditor-restructure)
+ [Auswählen eines Ressourcen-ARN im visuellen Editor](#troubleshoot_policies-resource-arn)
+ [Verweigern von Berechtigungen im visuellen Editor](#troubleshoot_policies-switch-deny)
+ [Angeben mehrerer Services im visuellen Editor](#troubleshoot_policies-multiple-services)
+ [Reduzieren der Größe Ihrer Richtlinie im visuellen Editor](#troubleshoot_policy-size)
+ [Beheben von Problemen aufgrund nicht erkannter Services, Aktionen oder Ressourcentypen im visuellen Editor](#troubleshoot_policies-unrecognized-visual)
+ [Fehlerbehebung mit Richtlinienzusammenfassung](#troubleshoot_policies-polsum)
+ [Übersicht fehlender Richtlinien](#missing-policy-summary)
+ [Die Richtlinienübersicht umfasst nicht erkannte Services, Aktionen oder Ressourcentypen.](#unrecognized-services-actions)
+ [Der Service unterstützt keine IAM-Richtlinienübersichten](#unsupported-services-actions)
+ [Meine Richtlinie erteilt nicht die erwarteten Berechtigungen](#policy-summary-not-grant-permissions)
+ [Fehlerbehebung bei der Richtlinienverwaltung](#troubleshoot_policies-policy-manage)
+ [Anfügen oder Entfernen einer Richtlinie zu/von einem IAM-Konto](#troubleshoot_roles_cant-attach-detach-policy)
+ [Ändern von Richtlinien für Ihre IAM-Identitäten basierend auf ihrer Aktivität](#troubleshoot_change-policies-based-on-activity)
+ [Fehlerbehebung bei JSON-Richtliniendokumenten](#troubleshoot_policies-json)
+ [Validieren Ihrer Richtlinien](#usepolicyvalidation)
+ [Ich habe keine Berechtigungen für die Richtlinienvalidierung im JSON-Editor](#nopermsforpolicyvalidation)
+ [Mehrere JSON-Richtlinienobjekte](#morethanonepolicyblock)
+ [Mehrere JSON-Anweisungselemente](#morethanonestatement)
+ [Mehrere Effect-, Action- oder Resource-Elemente in einem JSON-Anweisungselement](#duplicateelement)
+ [Fehlendes JSON-Versionselement](#missing-version)
## Fehlerbehebung mit dem visuellen Editor
Wenn Sie eine vom Kunden verwaltete Richtlinie erstellen oder ändern, können Sie die Informationen im **Visual**-Editor nutzen, um Fehler in Ihrer Richtlinie zu beheben. Ein Beispiel für die Verwendung des visuellen Editors zum Erstellen einer Richtlinie finden Sie unter [Steuern des Zugriffs auf Identitäten](access_controlling.md#access_controlling-identities).
### Umstrukturierung einer Richtlinie
Wenn Sie eine Richtlinie erstellen, AWS validiert, verarbeitet und transformiert sie, bevor Sie sie speichern. Wenn die Richtlinie abgerufen wird, wird sie wieder in ein für Menschen lesbares Format AWS umgewandelt, ohne die Berechtigungen zu ändern. Dies kann zu Abweichungen führen zwischen dem, was im visuellen Editor oder auf der Registerkarte **JSON** angezeigt wird.
+ Berechtigungsblöcke des visuellen Editors können hinzugefügt, entfernt oder neu angeordnet werden und der Inhalt innerhalb eines Blocks kann optimiert werden.
+ Auf der Registerkarte **JSON** können unbedeutende Leerzeichen entfernt und Elemente innerhalb von JSON-Zuordnungen neu sortiert werden. Darüber hinaus können AWS-Konto IDs innerhalb der Hauptelemente durch den Amazon-Ressourcennamen (ARN) des ersetzt werden Root-Benutzer des AWS-Kontos.
Aufgrund dieser möglichen Änderungen sollten Sie JSON-Richtliniendokumente nicht als Zeichenfolgen vergleichen.
Wenn Sie in der eine vom Kunden verwaltete Richtlinie erstellen AWS-Managementkonsole, können Sie wählen, ob Sie ausschließlich im **JSON-Editor** arbeiten möchten. Wenn Sie die Richtlinie im **visuellen** Editor nie ändern und im **JSON**-Editor **Weiter** auswählen, ist die Wahrscheinlichkeit einer Umstrukturierung der Richtlinie geringer. Wenn Sie den **visuellen** Editor verwenden, strukturiert IAM die Richtlinie möglicherweise neu, um ihr Erscheinungsbild zu optimieren. Diese Umstrukturierung erfolgt nur in der Bearbeitungssitzung und wird nicht automatisch gespeichert.
Wenn Ihre Richtlinie während der Bearbeitungssitzung umstrukturiert wird, legt IAM basierend auf den folgenden Situationen fest, ob diese neue Version gespeichert wird:
| Diese Editor-Option verwenden | Wenn Sie Ihre Richtlinie bearbeiten | Wählen Sie dann in dieser Registerkarte ***Next*** (Weiter) aus | Wenn Sie ***Save changes (Änderungen speichern)*** auswählen |
| --- | --- | --- | --- |
| Visual | Bearbeitet | Visual | Die Richtlinie wird neu strukturiert |
| Visual | Bearbeitet | JSON | Die Richtlinie wird neu strukturiert |
| Visual | Nicht bearbeitet | Visual | Die Richtlinie wird neu strukturiert |
| JSON | Bearbeitet | Visual | Die Richtlinie wird neu strukturiert |
| JSON | Bearbeitet | JSON | Die Richtlinienstruktur bleibt unverändert |
| JSON | Nicht bearbeitet | JSON | Die Richtlinienstruktur bleibt unverändert |
IAM strukturiert möglicherweise komplexe Richtlinien oder Richtlinien mit Berechtigungsblöcken oder Anweisungen um, die mehrere Services, Ressourcentypen oder Bedingungsschlüssel zulassen.
### Auswählen eines Ressourcen-ARN im visuellen Editor
Wenn Sie mit dem visuellen Editor eine Richtlinie erstellen oder bearbeiten, müssen Sie zunächst einen Service und anschließend Aktionen dieses Services auswählen. Unterstützen die von Ihnen ausgewählten Services und Aktionen die Auswahl [bestimmter Ressourcen](access_controlling.md#access_controlling-resources), werden im visuellen Editor die unterstützten Ressourcentypen aufgeführt. Sie können **Add ARN (ARN hinzufügen)** auswählen, um Details zu Ihren Ressourcen bereitzustellen. Zum Hinzufügen eines ARNs für einen Ressourcentyp können Sie aus folgenden Optionen auswählen.
+ **ARN-Builder verwenden** – Je nach Ressourcentyp werden Ihnen möglicherweise unterschiedliche Felder zum Erstellen Ihres ARN angezeigt. Sie können auch **Any (Alle)** auswählen, um Berechtigungen für die einzelnen Werte für die angegebene Einstellung bereitzustellen. Wenn Sie z. B. die Amazon EC2-Zugriffsebenengruppe **Lesen** ausgewählt haben, unterstützen die Aktionen in Ihrer Richtlinie den `instance`-Ressourcentyp. Geben Sie die **Region**, das **Konto** und die **InstanceId**Werte für Ihre Ressource an. Die Richtlinie gewährt Berechtigungen für jede Instance in Ihrem Konto, wenn Sie Ihre Konto-ID angeben und **Beliebig** für die Region und die Instanz-ID auswählen.
+ **ARN eingeben oder einfügen** – Sie können Ressourcen anhand ihres [Amazon-Ressourcennamens (ARN)](reference_identifiers.md#identifiers-arns) angeben. Sie können einen Platzhalter (**\$1**) in einem beliebigen Feld des ARNs (zwischen zwei Doppelpunkten) einschließen. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Resource](reference_policies_elements_resource.md).
### Verweigern von Berechtigungen im visuellen Editor
Standardmäßig lässt die Richtlinie, die Sie mit dem visuellen Editor erstellen, die Aktionen zu, die Sie auswählen. Um die ausgewählten Aktionen stattdessen zu verweigern, wählen Sie **Switch to deny permissions (Zu Berechtigungen verweigern wechseln)**. Da Anfragen *standardmäßig abgelehnt* werden, empfehlen wir, nur Berechtigungen für die Aktionen und Ressourcen zu gewähren, die ein Benutzer benötigt. Sie sollten nur dann eine Ablehnungsanweisung erstellen, wenn Sie eine Berechtigung separat überschreiben möchten, die durch eine andere Anweisung oder Richtlinie gewährt wird. Wir empfehlen, die Anzahl der Verweigerungsberechtigungen auf ein Minimum zu beschränken, da diese die Fehlerbehebung bei Berechtigungen erschweren. Weitere Informationen dazu, wie IAM die Richtlinienlogik auswertet, finden Sie unter [Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md).
**Anmerkung**
Standardmäßig Root-Benutzer des AWS-Kontos hat nur der Zugriff auf alle Ressourcen in diesem Konto. Wenn Sie nicht als Stammbenutzer angemeldet sind, müssen Sie über Berechtigungen verfügen, die im Rahmen einer Richtlinie erteilt wurden.
### Angeben mehrerer Services im visuellen Editor
Wenn Sie mit dem visuellen Editor eine Richtlinie erstellen, können Sie nur jeweils einen Service auswählen. Diese Methode hat sich bewährt, da der visuelle Editor Ihnen dann die Auswahl von Aktionen für diesen Service gestattet. Sie wählen dann aus den Ressourcen aus, die vom Service und den ausgewählten Aktionen unterstützt werden. Dies vereinfacht das Erstellen und die Problembehebung Ihrer Richtlinie.
Sie können auch ein Platzhalterzeichen (\$1) verwenden, um manuell mehrere Services anzugeben. Geben Sie beispielsweise **Code\$1** ein, um Berechtigungen für alle Services bereitzustellen, die mit `Code` beginnen, beispielsweise `CodeBuild` und `CodeCommit`. Sie müssen dann jedoch die Aktionen und Ressourcen eingeben ARNs , um Ihre Richtlinie abzuschließen. Wenn Sie darüber hinaus Ihre Richtlinien speichern, wird diese möglicherweise [umstrukturiert](#troubleshoot_viseditor-restructure), um jeden Service in einen separaten Berechtigungsblock einzuschließen.
Wenn Sie die JSON-Syntax (beispielsweise Platzhalter) für Services verwenden möchten, erstellen, bearbeiten und speichern Sie Ihre Richtlinie über die Editoroption **JSON**.
### Reduzieren der Größe Ihrer Richtlinie im visuellen Editor
Wenn Sie mit dem visuellen Editor eine Richtlinie erstellen, erstellt IAM ein JSON-Dokument zum Speichern der Richtlinie. Sie können dieses Dokument anzeigen, indem Sie zur Editoroption **JSON** wechseln. Wenn dieses JSON-Dokument die zulässige Größe einer Richtlinie überschreitet, zeigt der visuelle Editor eine Fehlermeldung an. Sie können die Richtlinie nicht überprüfen und speichern. Informationen zur IAM-Größenbeschränkung für verwaltete Richtlinien finden Sie unter [IAM- und STS-Zeichenlimits](reference_iam-quotas.md#reference_iam-quotas-entity-length).
Zur Reduzierung der Größe Ihrer Richtlinie im visuellen Editor bearbeiten Sie die Richtlinie oder verschieben Sie Berechtigungsblöcke in eine andere Richtlinie. Die Fehlermeldung enthält die Anzahl der Zeichen, die Ihr Richtliniendokument enthält. Mithilfe dieser Informationen können Sie den Umfang Ihrer Richtlinie reduzieren.
### Beheben von Problemen aufgrund nicht erkannter Services, Aktionen oder Ressourcentypen im visuellen Editor
Möglicherweise wird im visuellen Editor eine Warnung angezeigt, dass Ihre Richtlinie einen nicht erkannten Service-, Aktions- oder Ressourcentyp enthält.
**Anmerkung**
IAM überprüft Servicenamen, Aktionen und Ressourcentypen für Services, die Richtlinienübersichten unterstützen. Ihre Richtlinienübersicht kann jedoch einen nicht vorhandenen Ressourcenwert oder eine nicht vorhandene Bedingung enthalten. Testen Sie die Richtlinien grundsätzlich mit dem [Richtliniensimulator](access_policies_testing-policies.md).
Wenn Ihre Richtlinie nicht erkannte Services, Aktionen oder Ressourcentypen enthält, ist einer der folgenden Fehler aufgetreten:
+ **Vorversion-Service** – Services, die sich in der Vorversion befinden, unterstützen den visuellen Editor nicht. Wenn Sie an der Vorschauversion teilnehmen, müssen Sie die Aktionen und Ressourcen manuell eingeben ARNs , um Ihre Richtlinie abzuschließen. Sie können alle Warnungen ignorieren und fortfahren. Alternativ können Sie die Editoroption **JSON** auswählen oder ein JSON-Richtliniendokument eingeben oder einfügen.
+ **Benutzerdefinierter Service** – Benutzerdefinierte Services unterstützen den visuellen Editor nicht. Wenn Sie einen benutzerdefinierten Dienst verwenden, müssen Sie die Aktionen und Ressourcen manuell eingeben ARNs , um Ihre Richtlinie abzuschließen. Sie können alle Warnungen ignorieren und fortfahren. Alternativ können Sie die Editoroption **JSON** auswählen oder ein JSON-Richtliniendokument eingeben oder einfügen.
+ Der **Dienst unterstützt den visuellen Editor nicht** — Wenn Ihre Richtlinie einen allgemein verfügbaren Dienst (GA) umfasst, der den visuellen Editor nicht unterstützt, müssen Sie die Aktionen und Ressourcen manuell eingeben, ARNs um Ihre Richtlinie abzuschließen. Sie können alle Warnungen ignorieren und fortfahren. Alternativ können Sie die Editoroption **JSON** auswählen oder ein JSON-Richtliniendokument eingeben oder einfügen.
Normalerweise handelt es sich bei verfügbaren Services um veröffentlichte Services und nicht um Vorversion- oder benutzerdefinierte Services. Wenn ein nicht erkannter Service allgemein verfügbar und der Name richtig geschrieben ist, unterstützt der Service den visuellen Editor nicht. Weitere Informationen zur Inanspruchnahme des Supports für den visuellen Editor oder der Richtlinienübersicht in Bezug auf einen allgemein verfügbaren GA-Service finden Sie unter [Der Service unterstützt keine IAM-Richtlinienübersichten](#unsupported-services-actions).
+ **Action unterstützt den visuellen Editor nicht** — Wenn Ihre Richtlinie einen unterstützten Dienst mit einer nicht unterstützten Aktion umfasst, müssen Sie die Aktionen und Ressourcen manuell eingeben, ARNs um Ihre Richtlinie abzuschließen. Sie können alle Warnungen ignorieren und fortfahren. Alternativ können Sie die Editoroption **JSON** auswählen oder ein JSON-Richtliniendokument eingeben oder einfügen.
Wenn Ihre Richtlinie einen unterstützten Service mit einer nicht unterstützten Aktion enthält, unterstützt der Service den visuellen Editor nicht vollständig. Weitere Informationen zur Inanspruchnahme des Supports für den visuellen Editor oder der Richtlinienübersicht in Bezug auf einen allgemein verfügbaren GA-Service finden Sie unter [Der Service unterstützt keine IAM-Richtlinienübersichten](#unsupported-services-actions).
+ **Ressourcen-Typ unterstützt den visuellen Editor nicht** – Wenn Ihre Richtlinie eine unterstützte Aktion mit einem nicht unterstützten Ressourcentyp enthält, können Sie die Warnung ignorieren und fortfahren. Allerdings kann IAM nicht bestätigen, dass Sie Ressourcen für all Ihre ausgewählten Aktionen eingeschlossen haben. Möglicherweise werden weitere Warnungen angezeigt.
+ **Tippfehler** – Wenn Sie manuell einen Service, eine Aktion oder eine Ressource im visuellen Editor eingeben, erstellen Sie möglicherweise eine Richtlinie, die einen Tippfehler enthält. Wir empfehlen Ihnen, den visuellen Editor zu verwenden, indem Sie aus der Liste der Services und Aktionen auswählen. Füllen Sie dann den Ressourcenabschnitt gemäß den Anweisungen aus. Wenn ein Service den visuellen Editor nicht vollständig unterstützt, müssen Sie möglicherweise Teile Ihrer Richtlinie manuell eingeben.
Wenn Sie sicher sind, dass Ihre Richtlinie keinen der oben genannten Fehler enthält, handelt es sich möglicherweise um einen Tippfehler. Überprüfen Sie, ob folgende Probleme auftreten:
+ Falsch geschriebene Namen von Service-, Aktions- und Ressourcentypen, wie etwa `s2` statt `s3` oder `ListMyBuckets` statt `ListAllMyBuckets`
+ Unnötiger Text ARNs, wie `arn:aws:s3: : :*`
+ Fehlende Doppelpunkte in Aktionen, wie etwa `iam.CreateUser`
Sie können eine Richtlinie bewerten, die möglicherweise Tippfehler enthält, indem Sie **Weiter** auswählen, um die Richtlinienzusammenfassung zu überprüfen. Überprüfen Sie dann, ob die Richtlinie die beabsichtigten Berechtigungen gewährt.
## Fehlerbehebung mit Richtlinienzusammenfassung
Sie können Probleme diagnostizieren und beheben, die im Zusammenhang mit der Richtlinienübersicht auftreten.
### Übersicht fehlender Richtlinien
Die IAM-Konsole enthält Tabellen mit *Richtlinienübersichten*, die die Zugriffsebene, Ressourcen und Bedingungen aufführt, die für die einzelnen Services in einer Richtlinie zugelassen oder verweigert werden. Richtlinien werden in drei Tabellen zusammengefasst: [Richtlinienübersicht](access_policies_understand-policy-summary.md), [Serviceübersicht](access_policies_understand-service-summary.md) und [Aktionsübersicht](access_policies_understand-action-summary.md). In der Tabelle *Richtlinienübersicht* werden die Services und die Übersichten der für die ausgewählte Richtlinie definierten Berechtigungen aufgelistet. Sie können die [Zusammenfassung der Richtlinien](access_policies_understand.md) für alle Richtlinien, die einer Entität zugeordnet sind, auf der Seite **Policy details** (Richtliniendetails) für diese Richtlinie einsehen. Sie können die Richtlinienübersicht für alle verwalteten Richtlinien auf der Seite **Policies (Richtlinien)** einsehen. Wenn AWS es nicht möglich ist, eine Zusammenfassung für eine Richtlinie zu rendern, werden das JSON-Richtliniendokument und der folgende Fehler angezeigt:
**A summary for this policy cannot be generated. (Eine Zusammenfassung für diese Richtlinie kann nicht erstellt werden.) You can still view or edit the JSON policy document.** (Sie können das JSON-Richtliniendokument weiterhin anzeigen oder bearbeiten.)
Wenn Ihre Richtlinie keine Übersicht enthält, ist einer der folgenden Fehler aufgetreten:
+ **Nicht unterstütztes Richtlinienelement** – IAM unterstützt nicht die Erstellung von Richtlinienübersichten, die eines der folgenden [Richtlinienelemente](reference_policies_elements.md) enthalten:
+ `Principal`
+ `NotPrincipal`
+ `NotResource`
+ **Keine Richtlinienberechtigung** – Wenn eine Richtlinie keine effektiven Berechtigungen erteilt, kann keine Richtlinienübersicht erstellt werden. Wenn eine Richtlinie beispielsweise ein einzelnes Statement mit dem Element `"NotAction": "*"` enthält, wird Zugriff auf alle Aktionen mit Ausnahme von "allen Aktionen" (\$1) gewährt. Das bedeutet, dass `Deny`- oder `Allow`-Zugriff auf nichts gewährt wird.
**Anmerkung**
Sie müssen bei der Verwendung dieser Richtlinienelemente wie `NotPrincipal`, `NotAction` und `NotResource` vorsichtig sein. Weitere Informationen zur Verwendung von Richtlinienelementen finden Sie unter [Referenz zum IAM-JSON-Richtlinienelement](reference_policies_elements.md).
Wenn Sie nicht übereinstimmende Services und Ressourcen bereitstellen, können Sie eine Richtlinie erstellen, die keine wirksamen Berechtigungen gewährt. Dies kann passieren, wenn Sie Aktionen in einem Service und Ressourcen aus einem anderen Service angeben. In diesem Fall erscheint die Richtlinienübersicht. Der einzige Hinweis darauf, dass ein Problem vorliegt, ist der Umstand, dass in der Ressourcen-Spalte eine Ressource eines anderen Services enthalten ist. Wenn diese Spalte eine nicht übereinstimmende Ressource enthält, sollten Sie Ihre Richtlinien auf Fehler überprüfen. Testen Sie Ihre Richtlinien mit dem [Richtliniensimulator](access_policies_testing-policies.md), um sich mit der Richtlinie besser vertraut zu machen.
### Die Richtlinienübersicht umfasst nicht erkannte Services, Aktionen oder Ressourcentypen.
Wenn in der IAM-Konsole eine [Richtlinienzusammenfassung](access_policies_understand.md) ein Warnsymbol (![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png)) enthält, enthält die Richtlinie möglicherweise einen nicht erkannten Service-, Aktions- oder Ressourcentyp. Weitere Informationen zu Warnungen innerhalb einer Richtlinienübersicht finden Sie unter [Richtlinienübersicht (Liste der Services)](access_policies_understand-policy-summary.md).
**Anmerkung**
IAM überprüft Servicenamen, Aktionen und Ressourcentypen für Services, die Richtlinienübersichten unterstützen. Ihre Richtlinienübersicht kann jedoch einen nicht vorhandenen Ressourcenwert oder eine nicht vorhandene Bedingung enthalten. Testen Sie die Richtlinien grundsätzlich mit dem [Richtliniensimulator](access_policies_testing-policies.md).
Wenn Ihre Richtlinie nicht erkannte Services, Aktionen oder Ressourcentypen enthält, ist einer der folgenden Fehler aufgetreten:
+ **Vorversion-Service** – Services, die sich in der Vorversion befinden und keine Richtlinienübersicht unterstützen.
+ **Benutzerdefinierter Service** – Richtlinienübersichten werden von benutzerdefinierten Services nicht unterstützt.
+ **Service unterstützt keine Übersichten** – Wenn Ihre Richtlinie einen allgemein verfügbaren (generally available – GA) Service umfasst, der keine Richtlinienübersichten unterstützt, wird der Service in den Abschnitt **Unrecognized services (Nicht erkannte Services)** der Richtlinienübersichtstabelle aufgenommen. Normalerweise handelt es sich bei verfügbaren Services um veröffentlichte Services und nicht um Vorversion- oder benutzerdefinierte Services. Wenn ein nicht erkannter Service allgemein verfügbar und der Name richtig geschrieben ist, unterstützt der Service keine IAM-Richtlinienübersichten. Weitere Informationen zur Unterstützungsanforderung von Richtlinienübersichten für allgemein verfügbare GA-Services finden Sie unter [Der Service unterstützt keine IAM-Richtlinienübersichten](#unsupported-services-actions).
+ **Aktion unterstützt keine Übersichten** – Wenn Ihre Richtlinie einen unterstützten Service mit einer nicht unterstützten Aktion enthält, wird die Aktion in den Abschnitt **Unrecognized actions (Nicht erkannte Services)** der Service-Übersichtstabelle aufgenommen. Weitere Informationen zu Warnungen innerhalb einer Serviceübersicht finden Sie unter [Serviceübersicht (Liste der Aktionen)](access_policies_understand-service-summary.md).
+ **Ressourcentyp unterstützt keine Übersichten** – Wenn Ihre Richtlinie eine unterstützte Aktion mit einem nicht unterstützten Ressourcentyp enthält, wird die Ressource in den Abschnitt **Unrecognized resource types (Nicht erkannte Servicetypen)** der Service-Übersichtstabelle aufgenommen. Weitere Informationen zu Warnungen innerhalb einer Serviceübersicht finden Sie unter [Serviceübersicht (Liste der Aktionen)](access_policies_understand-service-summary.md).
+ **Tippfehler** [— AWS überprüft, ob das JSON syntaktisch korrekt ist und ob die Richtlinie keine Tippfehler oder andere Fehler im Rahmen der Richtlinienvalidierung enthält.](access_policies_policy-validator.md)
**Anmerkung**
Als [bewährte Methode](best-practices.md) empfehlen wir, IAM Access Analyzer zu verwenden, um Ihre IAM-Richtlinien zu validieren und sichere und funktionale Berechtigungen zu gewährleisten. Wir empfehlen, vorhandene Richtlinien zu öffnen und alle Richtlinienvalidierungen zu überprüfen und zu lösen.
### Der Service unterstützt keine IAM-Richtlinienübersichten
Es ist möglich, dass die IAM-Richtlinien-Zusammenfassungen oder der visuelle Editor einen allgemein verfügbaren Service oder eine allgemein verfügbare Aktion nicht unterstützen. Allgemein verfügbare Services sind veröffentlichte Services, keine Vorversion- oder benutzerdefinierte Services. Wenn ein nicht erkannter Service allgemein verfügbar und der Name richtig geschrieben ist, unterstützt der Service diese Funktionen nicht. Wenn Ihre Richtlinie einen unterstützten Service mit einer nicht unterstützten Aktion enthält, werden die IAM-Richtlinienübersichten nicht vollständig von diesem Service unterstützt.
**So können Sie anfordern, dass von einem Service die Unterstützung der IAM-Richtlinienübersicht oder die des visuellen Editors hinzugefügt wird**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Suchen Sie die Richtlinie, die den nicht unterstützten Service enthält:
+ Wenn es sich um eine verwaltete Richtlinie handelt, wählen Sie im Navigationsbereich **Policies (Richtlinien)**. Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, die sie anzeigen möchten.
+ Wenn es sich um eine Inlinerichtlinie handelt, die dem Benutzer zugeordnet ist, wählen Sie im Navigationsbereich **Users (Benutzer)**. Wählen Sie in der Benutzerliste den Namen des Benutzers aus, dessen Richtlinie Sie anzeigen möchten. Erweitern Sie in der Richtlinientabelle des Benutzers den Header für die anzuzeigende Richtlinienübersicht.
1. **Wählen Sie links in der AWS-Managementkonsole Fußzeile Feedback aus.** Geben Sie im Feld **Feedback for IAM** (Feedback für IAM) **I request that the service add support for IAM policy summaries and the visual editor** ein. Wenn Sie möchten, dass Übersichten von mehreren Services unterstützt werden sollen, geben Sie ein **I request that the , , and services add support for IAM policy summaries and the visual editor**.
**So können Sie die Unterstützung der IAM-Richtlinienübersicht für eine fehlende Aktion durch einen Service hinzufügen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Suchen Sie die Richtlinie, die den nicht unterstützten Service enthält:
+ Wenn es sich um eine verwaltete Richtlinie handelt, wählen Sie im Navigationsbereich **Policies (Richtlinien)**. Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, die sie anzeigen möchten.
+ Wenn es sich um eine Inlinerichtlinie handelt, die dem Benutzer zugeordnet ist, wählen Sie im Navigationsbereich **Users (Benutzer)**. Wählen Sie in der Benutzerliste den Namen des Benutzers aus, dessen Richtlinie Sie anzeigen möchten. Wählen Sie in der Richtlinientabelle des Benutzers den Namen der anzuzeigenden Richtlinie aus, um die Richtlinienübersicht zu erweitern.
1. Wählen Sie in der Richtlinienübersicht den Namen des Services aus, der eine nicht unterstützte Aktion enthält.
1. **Wählen Sie links in der AWS-Managementkonsole Fußzeile Feedback aus.** Geben Sie im Feld **Feedback for IAM** (Feedback für IAM) **I request that the service add IAM policy summary and the visual editor support for the action** ein. Wenn Sie mehr als eine nicht unterstützte Aktion melden möchten, geben Sie Folgendes ein **I request that the service add IAM policy summary and the visual editor support for the , , and actions**.
Um fehlende Aktionen eines anderen Services hinzuzufügen, wiederholen Sie die letzten drei Schritte.
### Meine Richtlinie erteilt nicht die erwarteten Berechtigungen
Um einem Benutzer, einer Gruppe, Rolle oder Ressource Berechtigungen zuzuordnen, müssen Sie eine *Richtlinie* erstellen. Dabei handelt es sich um ein Dokument, das Berechtigungen definiert. Das Richtliniendokument umfasst die folgenden Elemente:
+ **Effect** – gibt an, ob die Richtlinie den Zugriff erlaubt oder verweigert
+ **Action** – die Liste der Aktionen, die durch die Richtlinie erlaubt oder verweigert werden
+ **Resource** – die Liste der Ressourcen, für die die Aktionen durchgeführt werden können
+ **Condition** (Optional) – die Bedingungen, unter denen die Richtlinie die Berechtigung erteilt
Weitere Informationen zu diesen und anderen Richtlinienelementen finden Sie unter [Referenz zum IAM-JSON-Richtlinienelement](reference_policies_elements.md).
Wenn Sie den Zugriff gewähren, muss Ihre Richtlinie eine Aktion mit einer unterstützten Ressource definieren. Wenn Ihre Richtlinie außerdem eine Bedingung umfasst, muss die Bedingung einen [globalen Bedingungsschlüssel](reference_policies_condition-keys.md) enthalten oder sich auf die Aktion beziehen. Informationen darüber, welche Ressourcen von einer Aktion unterstützt werden, finden Sie in der [AWS -Dokumentation](https://docs.aws.amazon.com/) für Ihren Service. Informationen zu den Bedingungen, die von einer Aktion unterstützt werden, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](reference_policies_actions-resources-contextkeys.html).
Überprüfen Sie, ob Ihre Richtlinie eine Aktion, Ressource oder Bedingung definiert, die keine Berechtigungen gewährt. Die [Richtlinienübersicht](access_policies_understand-policy-summary.md) für Ihre Richtlinie finden Sie in der IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Sie können mit Richtlinienzusammenfassungen Probleme in Ihrer Richtlinie identifizieren und beheben.
Es gibt mehrere Gründe, warum ein Element möglicherweise keine Berechtigungen erteilt, obwohl es in der IAM-Richtlinie definiert wird:
+ [**Eine Aktion wurde ohne passende Ressource definiert.**](#mismatch_action-no-resource)
+ [**Eine Ressource wurde ohne passende Aktion definiert.**](#mismatch_resource-no-action)
+ [**Eine Bedingung wurde ohne passende Aktion definiert.**](#mismatch_condition-no-match)
Beispiele für Richtlinienzusammenfassungen einschließlich Warnungen finden Sie unter [Richtlinienübersicht (Liste der Services)](access_policies_understand-policy-summary.md).
#### Eine Aktion wurde ohne passende Ressource definiert
Die nachstehende Richtlinie definiert alle `ec2:Describe*`-Aktionen sowie eine spezifische Ressource. Keine der `ec2:Describe`-Aktionen wird gewährt, da keine dieser Aktionen Berechtigungen auf Ressourcenebene unterstützt. Berechtigungen auf Ressourcenebene bedeuten, dass die Aktion Ressourcen unterstützt, die das Element [ARNs](reference_identifiers.md#identifiers-arns)der Richtlinie verwenden. [`Resource`](reference_policies_elements_resource.md) Wenn eine Aktion keine Berechtigungen auf Ressourcenebene unterstützt, muss diese Anweisung in der Richtlinie einen Platzhalter (`*`) im `Resource`-Element verwenden. Informationen darüber, welche Services Berechtigungen auf Ressourcenebene unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "arn:aws:ec2:us-east-2:111122223333:instance/*"
}
]
}
```
------
Diese Richtlinie stellt keine Berechtigungen bereit und die Richtlinienzusammenfassung enthält den folgenden Fehler:
`This policy does not grant any permissions. To grant access, policies must have an action that has an applicable resource or condition.`
Um diese Richtlinie zu reparieren, müssen Sie `*` im `Resource`-Element verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
}]
}
```
------
#### Eine Ressource wurde ohne passende Aktion definiert
Die nachstehende Richtlinie definiert einen Amazon S3-Bucket, enthält jedoch keine S3-Aktion, die auf diese Ressource angewendet werden kann. Diese Richtlinie gewährt auch vollen Zugriff auf alle CloudFront Amazon-Aktionen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudfront:*",
"Resource": [
"arn:aws:cloudfront:*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
------
Diese Richtlinie bietet Berechtigungen für alle CloudFront Aktionen. Da die Richtlinie jedoch die S3-Ressource `amzn-s3-demo-bucket` definiert, ohne S3-Aktionen zu definieren, enthält die Richtlinienzusammenfassung die folgende Warnung:
`This policy defines some actions, resources, or conditions that do not provide permissions. To grant access, policies must have an action that has an applicable resource or condition.`
Um diese Richtlinie zu reparieren, damit sie S3-Bucket-Berechtigungen bereitstellt, müssen Sie S3-Aktionen definieren, die auf eine Bucket-Ressource angewendet werden können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudfront:*",
"s3:CreateBucket",
"s3:ListBucket*",
"s3:PutBucket*",
"s3:GetBucket*"
],
"Resource": [
"arn:aws:cloudfront:*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
------
Um diese Richtlinie dahingehend zu korrigieren, dass nur CloudFront Berechtigungen bereitgestellt werden, entfernen Sie alternativ die S3-Ressource.
#### Eine Bedingung wurde ohne passende Aktion definiert
In der nachstehenden Richtlinie werden zwei Amazon S3-Aktionen für alle S3-Ressourcen definiert, wenn das S3-Präfix `custom` und die Versions-ID `1234` lautet. Der Bedingungsschlüssel `s3:VersionId` wird jedoch zum Markieren der Objektversion verwendet und wird von den definierten Bucket-Aktionen nicht unterstützt. Informationen darüber, welche Bedingungen von einer Aktion unterstützt werden, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Wählen Sie dort den Dienst aus, um die Servicedokumentation für Bedingungsschlüssel anzuzeigen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucketVersions",
"s3:ListBucket"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"s3:prefix": [
"custom"
],
"s3:VersionId": [
"1234"
]
}
}
}
]
}
```
------
Diese Richtlinie stellt Berechtigungen für die Aktionen `s3:ListBucketVersions` und `s3:ListBucket` bereit, wenn der Bucket-Name das Präfix `custom` enthält. Da die Bedingung `s3:VersionId` jedoch von keiner der definierten Aktionen unterstützt wird, enthält die Richtlinienzusammenfassung den folgenden Fehler:
`This policy does not grant any permissions. To grant access, policies must have an action that has an applicable resource or condition.`
Um diese Richtlinie so zu reparieren, dass sie die Markierung der S3-Objektversion verwendet, müssen Sie eine S3-Aktion definieren, die den Bedingungsschlüssel `s3:VersionId` unterstützt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucketVersions",
"s3:ListBucket",
"s3:GetObjectVersion"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"s3:prefix": [
"custom"
],
"s3:VersionId": [
"1234"
]
}
}
}
]
}
```
------
Diese Richtlinie stellt Berechtigungen für jede Aktion und Bedingung in der Richtlinie bereit. Die Richtlinie stellt jedoch noch keine Berechtigungen bereit, da es nicht vorkommt, dass eine einzige Aktion beide Bedingungen erfüllt. Stattdessen müssen Sie zwei separate Anweisungen erstellen, die jeweils nur Aktionen mit den Bedingungen enthält, auf die sie zutreffen.
Um diese Richtlinie zu reparieren, erstellen Sie zwei Anweisungen. Die erste Anweisung enthält die Aktionen, die die Bedingung `s3:prefix` unterstützen, und die zweite Anweisung enthält die Aktionen, die die Bedingung `s3:VersionId` unterstützen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucketVersions",
"s3:ListBucket"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"s3:prefix": "custom"
}
}
},
{
"Effect": "Allow",
"Action": "s3:GetObjectVersion",
"Resource": "*",
"Condition": {
"StringEquals": {
"s3:VersionId": "1234"
}
}
}
]
}
```
------
## Fehlerbehebung bei der Richtlinienverwaltung
Sie können Probleme diagnostizieren und beheben, die im Zusammenhang mit der Richtlinienverwaltung auftreten.
### Anfügen oder Entfernen einer Richtlinie zu/von einem IAM-Konto
Einige AWS verwaltete Richtlinien sind mit einem Dienst verknüpft. Diese Richtlinien werden nur mit einer [serviceverknüpften Rolle](id_roles.md#iam-term-service-linked-role) für diesen Service verwendet. Wenn Sie in der IAM-Konsole die Seite mit den **Richtliniendetails** anzeigen, enthält die Seite ein Banner, das darauf hinweist, dass die Richtlinie mit einem Service verknüpft ist. Sie können diese Richtlinie zu einem Benutzer, einer Gruppe oder einer Rolle in IAM anfügen. Beim Erstellen einer serviceverknüpften Rolle wird diese Richtlinie automatisch zu der neuen Rolle angefügt. Da die Richtlinie erforderlich ist, können Sie sie nicht von der serviceverknüpften Rolle trennen.
### Ändern von Richtlinien für Ihre IAM-Identitäten basierend auf ihrer Aktivität
Sie können Richtlinien für Ihre IAM-Identitäten (Benutzer, Gruppen und Rollen) basierend auf ihren Aktivitäten aktualisieren. Sehen Sie sich dazu die Ereignisse Ihres Kontos im CloudTrail **Eventverlauf** an. CloudTrail Die Ereignisprotokolle enthalten detaillierte Ereignisinformationen, anhand derer Sie die Berechtigungen der Richtlinie ändern können.
**Ein Benutzer oder eine Rolle versucht, eine Aktion in auszuführen, AWS und diese Anfrage wird abgelehnt.**
Überlegen Sie, ob der Benutzer oder die Rolle die Berechtigung zum Ausführen der Aktion haben sollte. Wenn dies der Fall ist, können Sie ihrer Richtlinie die Aktion und sogar den ARN der Ressource hinzufügen, auf die sie zuzugreifen versuchen.
**Ein Benutzer oder eine Rolle verfügt über Berechtigungen, die er/sie nicht nutzt.**
Erwägen Sie, diese Berechtigungen aus ihrer Richtlinie zu entfernen. Stellen Sie sicher, dass Ihre Richtlinien die [geringsten Rechte](best-practices.md#grant-least-privilege) gewähren, die erforderlich sind, um nur die notwendigen Aktionen durchzuführen.
Weitere Informationen zur Verwendung CloudTrail finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [ CloudTrail Ereignisse in der CloudTrail Konsole anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html).
## Fehlerbehebung bei JSON-Richtliniendokumenten
Sie können Probleme diagnostizieren und beheben, die im Zusammenhang mit JSON-Richtliniendokumenten auftreten.
### Validieren Ihrer Richtlinien
Wenn Sie eine JSON-Richtlinie erstellen oder bearbeiten, kann IAM eine Richtlinienvalidierung durchführen, um Ihnen beim Erstellen einer effektiven Richtlinie zu helfen. IAM identifiziert JSON-Syntaxfehler, während IAM Access Analyzer zusätzliche Richtlinienüberprüfungen mit Empfehlungen zur weiteren Verfeinerung Ihrer Richtlinien bietet. Weitere Informationen zur Richtlinienvalidierung finden Sie unter [IAM-Richtlinien-Validierung](access_policies_policy-validator.md). Weitere Informationen zu den Richtlinienvalidierungen von IAM Access Analyzer-Richtlinien und Empfehlungen erhalten Sie unter [Richtlinienvalidierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).
### Ich habe keine Berechtigungen für die Richtlinienvalidierung im JSON-Editor
In der erhalten Sie möglicherweise die folgende Fehlermeldung AWS-Managementkonsole, wenn Sie nicht berechtigt sind, die Ergebnisse der IAM Access Analyzer-Richtlinienvalidierung anzuzeigen:
`You need permissions. You do not have the permissions required to perform this operation. Ask your administrator to add permissions.`
Um diesen Fehler zu beheben, bitten Sie Ihren Administrator, diese `access-analyzer:ValidatePolicy`-Berechtigung für Sie hinzuzufügen.
### Mehrere JSON-Richtlinienobjekte
Eine IAM-Richtlinie darf nur aus einem JSON-Objekt bestehen. Ein Objekt wird mithilfe von \$1\$1-Klammern definiert. Sie können andere Objekte in einem JSON-Objekt verschachteln, indem Sie zusätzliche Klammern \$1 \$1 in das äußere Paar einbetten. Eine Richtlinie darf nur ein äußerstes Paar von \$1 \$1 Klammern enthalten. Das folgende Beispiel ist falsch, da es zwei Objekte auf der obersten Ebene (genannt in*red*) enthält:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
{
"Effect":"Allow",
"Action":"ec2:Describe*",
"Resource":"*"
}
}
{
"Statement": {
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
}
```
------
Mit der richtigen Schreibweise können Sie das vorgenannte Beispiel jedoch in eine korrekte Richtlinie umwandeln. Statt zwei vollständige Richtlinienobjekte mit jeweils eigenen `Statement`-Elementen zu nutzen, können Sie die beiden Blöcke in einem einzelnen `Statement`-Element zusammenfassen. Das `Statement`-Element weist ein Array mit zwei Objekten als Wert auf, wie im folgenden Beispiel gezeigt (in **Fettdruck** hervorgehoben):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource":"*"
},
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
### Mehrere JSON-Anweisungselemente
Dieser Fehler kann zunächst als eine Variante des Fehlers aus dem vorherigen Abschnitt interpretiert werden. Syntaktisch handelt es sich jedoch um einen anderen Fehler. Im folgenden Beispiel befindet sich nur ein Richtlinienobjekt auf der obersten Ebene (durch die \$1\$1-Klammern definiert). Das Objekt enthält jedoch zwei `Statement`-Elemente.
Eine IAM-Richtlinie darf nur ein `Statement`-Element enthalten. Dies setzt sich aus dem Namen (`Statement`) links vom Doppelpunkt und dem Wert rechts vom Doppelpunkt zusammen. Der Wert eines `Statement`-Elements muss ein Objekt sein (durch \$1\$1-Klammern definiert). Es muss ein `Effect`-Element, ein `Action`-Element und ein `Resource`-Element enthalten. Das folgende Beispiel ist falsch, da es zwei `Statement` Elemente im Richtlinienobjekt (mit dem Namen out in*red*) enthält:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
"Statement": {
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
}
```
------
Ein Wert-Objekt kann ein Array mehrerer Wert-Objekte sein. Um dieses Problem zu lösen, fassen Sie die zwei `Statement`-Elemente in einem Element mit einem Objekt-Array zusammen, wie im folgenden Beispiel gezeigt (in **Fettdruck** hervorgehoben):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource":"*"
},
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
Der Wert des `Statement`-Elements ist eine Objekt-Gruppe. Die Gruppe in diesem Beispiel besteht aus zwei Objekten. Jedes Objekt ist ein gültiger Wert für ein `Statement`-Element. Die Objekte in der Gruppe werden durch Kommas getrennt.
### Mehrere Effect-, Action- oder Resource-Elemente in einem JSON-Anweisungselement
Auf der Wertseite des `Statement` name/value Paares darf das Objekt nur aus einem `Effect` Element, einem `Action` Element und einem `Resource` Element bestehen. Die folgende Richtlinie ist falsch, da sie zwei `Effect`-Elemente in der `Statement` enthält:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Effect": "Allow",
"Action": "ec2:* ",
"Resource": "*"
}
}
```
------
**Anmerkung**
Die Richtlinien-Engine lässt solche Fehler in neuen oder bearbeiteten Richtlinien nicht zu. Die Richtlinien-Engine lässt jedoch weiterhin Richtlinien zu, die vor der Aktualisierung der Engine gespeichert wurden. Das Fehlerverhalten von vorhandenen Richtlinien ist wie folgt:
Mehrere `Effect`-Elemente: Nur das letzte `Effect`-Element wird berücksichtigt. Alle anderen werden ignoriert.
Mehrere `Action`-Elemente: Alle `Action`-Elemente werden intern zusammengefasst und so behandelt, als wären sie eine einzelne Liste.
Mehrere `Resource`-Elemente: Alle `Resource`-Elemente werden intern zusammengefasst und so behandelt, als wären sie eine einzelne Liste.
Die Richtlinien-Engine gestattet es nicht, Richtlinien mit Syntax-Fehlern zu speichern. Korrigieren Sie vor dem Speichern die Fehler in der Richtlinie. Überprüfen und korrigieren Sie alle Empfehlungen zur [Richtlinienvalidierung](access_policies_policy-validator.md) für Ihre Richtlinien.
Grundsätzlich besteht die Lösung darin, das falsche, überflüssige Element zu entfernen. Für `Effect`-Elemente ist dies ganz einfach: Wenn Sie im vorherigen Beispiel die Berechtigungen für Amazon EC2-Instances *verweigern* möchten, müssen Sie die Zeile `"Effect": "Allow",` aus der Richtlinie entfernen, wie nachfolgend dargestellt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "ec2:*",
"Resource": "*"
}
}
```
------
Wenn es sich jedoch bei dem duplizierten Element um `Action` oder `Resource` handelt, kann sich die Lösung schwieriger gestalten. Sie verfügen ggf. über mehrere Aktionen, die Sie zulassen (oder verweigern) möchten, oder Sie möchten ggf. die Berechtigung für den Zugriff auf mehrere Ressourcen kontrollieren. Das folgende Beispiel ist beispielsweise falsch, da es mehrere `Resource` Elemente (mit dem Namen out in*red*) enthält:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
}
```
------
Jedes der erforderlichen Elemente in einem Wert-Paar-Objekt eines `Statement`-Elements darf nur einmal vorhanden sein. Die Lösung besteht darin, jeden Wert in einem Array anzuordnen. Das folgende Beispiel erläutert dies, indem die beiden Ressourcenelemente in ein `Resource`-Element überführt werden, das ein separates Array als Wertobjekt aufweist (in **Fettdruck** hervorgehoben):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
}
```
------
### Fehlendes JSON-Versionselement
Das Richtlinienelement `Version` unterscheidet sich von einer Richtlinienversion. Das Richtlinienelement `Version` wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Im Vergleich dazu wird eine Richtlinienversion erstellt, wenn Sie eine vom Kunden verwaltete Richtlinie in IAM ändern. Die vorhandene Richtlinie wird von der geänderten Richtlinie nicht überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie. Weitere Informationen zum Richtlinienelement `Version` finden Sie unter [IAM-JSON-Richtlinienelemente: Version](reference_policies_elements_version.md). Weitere Informationen zu den Richtlinienversionen finden Sie unter [Versioning von IAM-Richtlinien](access_policies_managed-versioning.md).
Im AWS Zuge der Weiterentwicklung der Funktionen werden den IAM-Richtlinien neue Funktionen hinzugefügt, um diese Funktionen zu unterstützen. Zuweilen geht eine Aktualisierung der Richtliniensyntax mit der Vergabe einer neuen Versionsnummer einher. Wenn Sie in Ihren Richtlinien neuere Funktionen der Richtlinienformulierung verwenden, müssen Sie der Richtlinien-Parsing-Engine mitteilen, welche Version Sie verwenden. Die standardmäßige Richtlinienversion lautet "2008-10-17". Wenn Sie eine später hinzugefügte Richtlinienfunktion verwenden möchten, müssen Sie die Versionsnummer angeben, die die gewünschte Funktion unterstützt. Wir empfehlen, *immer* die neueste Versionsnummer der Richtliniensyntax zu verwenden, zurzeit `"Version": "2012-10-17"`. Die folgende Richtlinie ist beispielsweise falsch, da sie die Richtlinienvariable `${...}` im ARN für eine Ressource verwendet. Es kann jedoch keine Richtliniensyntaxversion angegeben werden, die Richtlinienvariablen unterstützt (siehe*red*):
```
{
"Statement":
{
"Action": "iam:*AccessKey*",
"Effect": "Allow",
"Resource": "arn:aws:iam::123456789012:user/${aws:username}"
}
}
```
Dieses Problem kann durch Hinzufügen eines `Version`-Elements am Anfang der Richtlinie mit dem Wert `2012-10-17`, die erste IAM-API-Version, die Richtlinienvariablen unterstützt, behoben werden (in **Fettdruck** hervorgehoben):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
{
"Action": "iam:*AccessKey*",
"Effect": "Allow",
"Resource": "arn:aws:iam::123456789012:user/${aws:username}"
}
}
```
------
# Fehlerbehebung bei Passkeys und FIDO-Sicherheitsschlüsseln
Verwenden Sie die hier aufgeführten Informationen, um häufig auftretende Probleme zu diagnostizieren, die bei der Arbeit mit FIDO2 Sicherheitsschlüsseln auftreten können.
**Topics**
+ [Ich kann meinen FIDO-Sicherheitsschlüssel nicht aktivieren](#troubleshoot_mfa-fido-cant-enable)
+ [Ich kann mich mit meinem FIDO-Sicherheitsschlüssel nicht anmelden](#troubleshoot_mfa-fido-signin)
+ [Ich habe meinen FIDO-Sicherheitsschlüssel verloren oder beschädigt](#troubleshoot_mfa-fido-lost)
+ [Sonstige Probleme](#troubleshoot_mfa-fido-other-issues)
## Ich kann meinen FIDO-Sicherheitsschlüssel nicht aktivieren
Lesen Sie die folgenden Lösungen entsprechend Ihres Status als IAM-Benutzer oder -Systemadministrator
### IAM-Benutzer
Wenn Sie Ihren FIDO-Sicherheitsschlüssel nicht aktivieren können, überprüfen Sie Folgendes:
+ Verwenden Sie eine unterstützte Konfiguration?
IAM unterstützt FIDO2 Sicherheitsgeräte, die über USB oder NFC eine Verbindung zu Ihren Geräten herstellen. Bluetooth IAM unterstützt auch Plattformauthentifikatoren wie TouchID oder FaceID. IAM unterstützt keine lokale Passkey-Registrierung für Windows Hello. Zum Erstellen und Verwenden von Passkeys sollten Windows-Benutzer die [geräteübergreifende Authentifizierung](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) nutzen, bei der Sie einen Passkey von einem Gerät (z. B. einem Mobilgerät) oder einen Hardware-Sicherheitsschlüssel verwenden, um sich auf einem anderen Gerät (z. B. einem Laptop) anzumelden.
Informationen zu Geräten und Browsern, die Sie mit WebAuthn und verwenden können AWS, finden Sie unter[Unterstützte Konfigurationen für die Verwendung von Passkeys und Sicherheitsschlüsseln](id_credentials_mfa_fido_supported_configurations.md).
+ Verwenden Sie Browser-Plugins?
AWS unterstützt nicht die Verwendung von Plug-ins zum Hinzufügen von WebAuthn Browserunterstützung. Verwenden Sie stattdessen einen Browser, der den WebAuthn Standard nativ unterstützt.
Auch wenn Sie einen unterstützten Browser verwenden, haben Sie möglicherweise ein Plugin, mit dem nicht kompatibel ist WebAuthn. Ein inkompatibles Plugin kann Sie daran hindern, Ihren FIDO-konformen Sicherheitsschlüssel zu aktivieren und zu verwenden. Deaktivieren Sie alle möglicherweise inkompatiblen Plugins und starten Sie Ihren Browser neu. Versuchen Sie dann erneut, den FIDO-Sicherheitsschlüssel zu aktivieren.
+ Haben Sie die entsprechenden Berechtigungen?
Wenn Sie keine der oben genannten Kompatibilitätsprobleme haben, verfügen Sie möglicherweise nicht über die entsprechenden Berechtigungen. Bitte wenden Sie sich an Ihren Systemadministrator.
### Systemadministratoren
Wenn Ihre IAM-Benutzer ihre FIDO-Sicherheitsschlüssel trotz Verwendung einer unterstützten Konfiguration nicht aktivieren können, überprüfen Sie ihre Berechtigungen. Ein ausführliches Beispiel finden Sie unter [IAM-Tutorial: Zulassen, dass Ihre Benutzer ihre eigenen Anmeldeinformationen und MFA-Einstellungen konfigurieren können](tutorial_users-self-manage-mfa-and-creds.md).
## Ich kann mich mit meinem FIDO-Sicherheitsschlüssel nicht anmelden
Wenn Sie sich nicht AWS-Managementkonsole mit Ihrem FIDO-Sicherheitsschlüssel bei der anmelden können, finden Sie zunächst weitere Informationen unter[Unterstützte Konfigurationen für die Verwendung von Passkeys und Sicherheitsschlüsseln](id_credentials_mfa_fido_supported_configurations.md). Wenn Sie eine unterstützte Konfiguration verwenden, sich aber nicht anmelden können, wenden Sie sich an Ihren Systemadministrator, um Hilfe zu erhalten.
## Ich habe meinen FIDO-Sicherheitsschlüssel verloren oder beschädigt
Einem Benutzer können bis zu **acht** MFA-Geräte einer beliebigen Kombination der [derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) zugewiesen werden. Bei mehreren MFA-Geräten ist nur ein MFA-Gerät erforderlich, um sich bei der AWS-Managementkonsole anzumelden. Das Ersetzen eines FIDO-Sicherheitsschlüssels ist vergleichbar mit dem Ersetzen eines Hardware-TOTP-Tokens. Informationen darüber, wenn Sie ein MFA-Gerät verlieren oder beschädigen, finden Sie unter [Wiederherstellung einer MFA-geschützten Identität in IAM](id_credentials_mfa_lost-or-broken.md).
## Sonstige Probleme
Wenn Sie ein Problem mit FIDO-Sicherheitsschlüsseln haben, das hier nicht behandelt wird, führen Sie einen der folgenden Schritte aus:
+ IAM-Benutzer: Wenden Sie sich an Ihren Systemadministrator.
+ AWS-Konto Root-Benutzer: Wenden Sie sich an den [AWS Support](https://aws.amazon.com/premiumsupport/).
# Fehlerbehebung bei IAM-Rollen
Verwenden Sie die hier aufgeführten Informationen, um häufige Probleme zu diagnostizieren und zu beheben, die beim Arbeiten mit IAM-Rollen auftreten können.
**Topics**
+ [Ich kann eine Rolle nicht übernehmen](#troubleshoot_roles_cant-assume-role)
+ [In meinem AWS Konto wurde eine neue Rolle angezeigt](#troubleshoot_roles_new-role-appeared)
+ [Ich kann eine Rolle in meinem nicht bearbeiten oder löschen AWS-Konto](#troubleshoot_roles_cant-edit-delete-role)
+ [Ich bin nicht berechtigt, Folgendes auszuführen: iam: PassRole](#troubleshoot_roles_not-auth-passrole)
+ [Warum kann ich keine Rolle mit einer 12-Stunden-Sitzung übernehmen? (AWS CLI, AWS API)](#troubleshoot_roles_cant-set-session)
+ [Ich erhalte einen Fehler, wenn ich versuche, Rollen in der IAM-Konsole zu wechseln](#troubleshoot_roles_cant-switch-role-console)
+ [Zu meiner Rolle gehört eine Richtlinie, die es mir erlaubt, eine Aktion durchzuführen, ich erhalte aber einen "Zugriff verweigert"-Fehler](#troubleshoot_roles_session-policy)
+ [Der Service hat die Standardrichtlinienversion der Rolle nicht erstellt](#troubleshoot_serviceroles_edited-policy)
+ [Es gibt keinen Anwendungsfall für eine Servicerolle in der Konsole](#troubleshoot_serviceroles_console-use-case)
## Ich kann eine Rolle nicht übernehmen
Überprüfen Sie, ob Folgendes der Fall ist:
+ Damit Benutzer die aktuelle Rolle innerhalb einer Rollensitzung wieder übernehmen können, geben Sie den Rollen-ARN oder AWS-Konto ARN als Principal in der Rollenvertrauensrichtlinie an. AWS-Services die Rechenressourcen wie Amazon EC2, Amazon ECS, Amazon EKS und Lambda bereitstellen, stellen temporäre Anmeldeinformationen bereit und aktualisieren diese Anmeldeinformationen automatisch. Dadurch wird sichergestellt, dass Sie immer über gültige Anmeldeinformationen verfügen. Für diese Dienste ist es nicht erforderlich, die aktuelle Rolle erneut anzunehmen, um temporäre Anmeldeinformationen zu erhalten. Wenn Sie jedoch beabsichtigen, [Sitzungs-Tags](id_session-tags.md) oder eine [Sitzungsrichtlinie](access_policies.md#policies_session) zu übergeben, müssen Sie die aktuelle Rolle erneut annehmen. Informationen zum Ändern einer Rollenvertrauensrichtlinie zum Hinzufügen der Hauptrollen ARN oder AWS-Konto ARN finden Sie unter[Rollenvertrauensrichtlinie aktualisieren](id_roles_update-role-trust-policy.md).
+ Wenn Sie mithilfe von eine Rolle übernehmen AWS-Managementkonsole, stellen Sie sicher, dass Sie den exakten Namen Ihrer Rolle verwenden. Bei Rollennamen wird die Groß-/Kleinschreibung beachtet.
+ Wenn Sie mithilfe von AWS STS API oder eine Rolle annehmen AWS CLI, stellen Sie sicher, dass Sie den genauen Namen Ihrer Rolle im ARN verwenden. Bei Rollennamen wird die Groß-/Kleinschreibung beachtet.
+ Wenn Sie eine Rolle mit einem SAML-basierten Verbundidentitätsanbieter übernehmen und die SAML-Verschlüsselung aktiviert ist, stellen Sie sicher, dass Sie einen gültigen privaten Entschlüsselungsschlüssel für den SAML-Identitätsanbieter hochgeladen haben. Weitere Informationen finden Sie unter [Verwaltung von SAML-Verschlüsselungsschlüssel](id_roles_providers_create_saml.md#id_federation_manage-saml-encryption).
+ Überprüfen Sie, ob Ihre IAM-Richtlinie die Berechtigung zum Aufrufen der Aktion `sts:AssumeRole` für die Rolle gewährt, die Sie übernehmen möchten. Das `Action`-Element Ihrer IAM-Richtlinie muss es Ihnen ermöglichen, die Aktion `AssumeRole` aufzurufen. Darüber hinaus muss das `Resource`-Element Ihrer IAM-Richtlinie die Rolle angeben, die Sie übernehmen möchten. Das Element `Resource` kann beispielsweise eine Rolle anhand ihres Amazon-Ressourcennamens (ARN) oder durch einen Platzhalter (\$1) definieren. Sie müssen durch mindestens eine für Sie gültige Richtlinie Berechtigungen wie die folgenden erhalten:
```
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::account_id_number:role/role-name-you-want-to-assume"
```
+ Vergewissern Sie sich, dass Ihre IAM-Identität mit allen Tags markiert ist, die die IAM-Richtlinie erfordert. In den folgenden Richtlinienberechtigungen erfordert das `Condition`-Element beispielsweise, dass Sie als Auftraggeber, der die Übernahme der Rolle beantragt, ein bestimmtes Tag haben müssen. Sie müssen mit dem Tag `department = HR` oder `department = CS` markiert sein. Andernfalls können Sie die Rolle nicht übernehmen. Weitere Informationen zum Markieren von IAM-Benutzern und Rollen finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md).
```
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {"StringEquals": {"aws:PrincipalTag/department": [
"HR",
"CS"
]}}
```
+ Stellen Sie sicher, dass Sie alle Bedingungen erfüllen, die in der Vertrauensrichtlinie der Rolle definiert sind. Eine `Condition` kann ein Ablaufdatum, eine externe ID oder eine bestimmte IP-Adresse festlegen, von der die Anforderung kommen muss. Sehen Sie sich das folgende Beispiel an: Wenn das aktuelle Datum nach dem angegebenen Datum liegt, sind die Bedingungen der Richtlinie nie erfüllt und die Berechtigung zum Übernehmen der Rolle kann nicht gewährt werden.
```
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::account_id_number:role/role-name-you-want-to-assume"
"Condition": {
"DateLessThan" : {
"aws:CurrentTime" : "2016-05-01T12:00:00Z"
}
}
```
+ Stellen Sie sicher, dass es sich bei der Entität, AWS-Konto von der aus Sie anrufen`AssumeRole`, um eine vertrauenswürdige Entität für die Rolle handelt, die Sie übernehmen. Vertrauenswürdige Entitäten sind in der Vertrauensrichtlinie einer Rolle als `Principal` definiert. Das nachfolgende Beispiel enthält eine Vertrauensrichtlinie, die der Rolle angefügt ist, die Sie übernehmen möchten. In diesem Beispiel muss die Konto-ID des IAM-Benutzers, über den Sie sich angemeldet haben, 123456789012 lauten. Wenn Ihre Kontonummer nicht im `Principal`-Element der Vertrauensrichtlinie der Rolle aufgeführt ist, können Sie die Rolle nicht übernehmen. Es spielt keine Rolle, welche Berechtigungen Ihnen in den Zugriffsrichtlinien gewährt werden. Beachten Sie, dass in der Beispielrichtlinie nur Berechtigungen für Aktionen gewährt werden, die zwischen dem 01.07.2017 und dem 31.12.2017 (UTC) ausgeführt werden. Wenn Sie sich vor oder nach diesem Zeitraum anmelden, sind die Bedingungen der Richtlinie nicht erfüllt und Sie können die Rolle nicht übernehmen.
```
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::123456789012:root" },
"Action": "sts:AssumeRole",
"Condition": {
"DateGreaterThan": {"aws:CurrentTime": "2017-07-01T00:00:00Z"},
"DateLessThan": {"aws:CurrentTime": "2017-12-31T23:59:59Z"}
}
```
+ **Quellenidentität** — Administratoren können Rollen so konfigurieren, dass Identitäten eine benutzerdefinierte Zeichenfolge übergeben müssen, die die Person oder Anwendung identifiziert, in der Aktionen ausgeführt werden. Diese wird als AWS*Quellidentität* bezeichnet. Überprüfen Sie, ob für die übernommene Rolle eine Quellidentität festgelegt ist. Weitere Informationen zu Quellidentität finden Sie unter [Überwachen und Steuern von Aktionen mit übernommenen Rollen](id_credentials_temp_control-access_monitor.md).
## In meinem AWS Konto wurde eine neue Rolle angezeigt
Für einige AWS Dienste müssen Sie eine spezielle Art von Servicerolle verwenden, die direkt mit dem Dienst verknüpft ist. Diese [serviceverknüpfte Rolle](id_roles.md#iam-term-service-linked-role) wird vom Service vordefiniert und enthält alle vom Service benötigten Berechtigungen. Dadurch wird das Einrichten eines Service vereinfacht, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Allgemeine Informationen zu serviceverknüpften Rollen finden Sie unter [Erstellen einer serviceverknüpften Rolle](id_roles_create-service-linked-role.md).
Möglicherweise verwenden Sie einen Service bereits, wenn er damit beginnt, serviceverknüpfte Rollen zu unterstützen. In diesem Fall erhalten Sie möglicherweise eine E-Mail mit Hinweisen zu einer neuen Rolle in Ihrem Konto. Diese Rolle enthält alle Berechtigungen, die der Service benötigt, um in Ihrem Namen Aktionen auszuführen. Sie müssen keine Aktion durchführen, um diese Rolle zu unterstützen. Jedoch sollten Sie die Rolle nicht aus Ihrem Konto löschen. Andernfalls können eventuell Berechtigungen entfernt werden, die der Service für den Zugriff auf AWS -Ressourcen benötigt. Sie können die serviceverknüpften Rollen in Ihrem Konto anzeigen, indem Sie zur IAM-Seite **Roles** Seite der IAM-Konsole wechseln. Serviceverknüpfte Rollen werden mit dem Hinweis **(Service-linked role)** in der Spalte **Trusted entities (Vertrauenswürdige Entitäten)** der Tabelle angezeigt.
Informationen darüber, welche Services diese serviceverknüpften Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md). Suchen Sie nach den Services, für die **Yes **in der Spalte **Service-Linked Role** angegeben ist. Weitere Informationen zur Verwendung von serviceverknüpften Rollen für einen Service erhalten Sie über den Link **Yes**.
## Ich kann eine Rolle in meinem nicht bearbeiten oder löschen AWS-Konto
Sie können die Berechtigungen für einer [serviceverknüpfte Rolle](id_roles.md#iam-term-service-linked-role) in IAM nicht löschen oder bearbeiten. Diese Rollen umfassen vordefinierte Vertrauensstellungen und Berechtigungen, die für den Service erforderlich sind, um Aktionen in Ihrem Namen durchführen zu können. Sie können die IAM-Konsole oder die API verwenden AWS CLI, um nur die Beschreibung einer serviceverknüpften Rolle zu bearbeiten. Sie können die serviceverknüpften Rollen in Ihrem Konto anzeigen, indem Sie zur IAM-Seite **Roles** der Konsole wechseln. Serviceverknüpfte Rollen werden mit dem Hinweis **(Service-linked role)** in der Spalte **Trusted entities (Vertrauenswürdige Entitäten)** der Tabelle angezeigt. Ein Banner auf der Seite **Summary (Übersicht)** für die Rolle zeigt ebenfalls an, dass es sich um eine serviceverknüpfte Rolle handelt. Sie können diese Rollen nur über den verknüpften Service verwalten und löschen, wenn dieser Service die Aktion unterstützt. Gehen Sie beim Ändern oder Löschen einer serviceverknüpften Rolle mit Bedacht vor, da Sie dadurch möglicherweise Berechtigungen entfernen, die der Service benötigt, um auf AWS -Ressourcen zuzugreifen.
Informationen darüber, welche Services diese serviceverknüpften Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md). Suchen Sie nach den Services, für die **Yes **in der Spalte **Service-Linked Role** angegeben ist.
## Ich bin nicht berechtigt, Folgendes auszuführen: iam: PassRole
Wenn Sie eine serviceverknüpfte Rolle erstellen, müssen Sie über die Berechtigung verfügen, diese Rolle an den Service weiterzuleiten. Einige Services erstellen automatisch eine serviceverknüpfte Rolle in Ihrem Konto, wenn Sie eine Aktion in diesem Service durchführen. Beispiel: Amazon EC2 Auto Scaling erstellt die serviceverknüpfte `AWSServiceRoleForAutoScaling`-Rolle für Sie, wenn Sie das erste Mal eine Auto Scaling-Gruppe erstellen. Wenn Sie versuchen, eine Auto Scaling-Gruppe ohne die `PassRole`-Berechtigung zu erstellen, erhalten Sie folgenden Fehler:
`ClientError: An error occurred (AccessDenied) when calling the PutLifecycleHook operation: User: arn:aws:sts::111122223333:assumed-role/Testrole/Diego is not authorized to perform: iam:PassRole on resource: arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling`
Um diesen Fehler zu beheben, bitten Sie Ihren Administrator, diese `iam:PassRole`-Berechtigung für Sie hinzuzufügen.
Informationen dazu, welche Services serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md). Um zu erfahren, ob ein Service automatisch eine serviceverknüpfte Rolle für Sie erstellt, wählen Sie den Link **Ja** aus, um die Dokumentation zur serviceverknüpften Rolle für den Service anzuzeigen.
## Warum kann ich keine Rolle mit einer 12-Stunden-Sitzung übernehmen? (AWS CLI, AWS API)
Wenn Sie die AWS STS `AssumeRole*` API- oder `assume-role*` CLI-Operationen verwenden, um eine Rolle anzunehmen, können Sie einen Wert für den `DurationSeconds` Parameter angeben. Sie können einen Wert von 900 Sekunden (15 Minuten) bis zur **maximalen Sitzungsdauer** für die Rolle angeben. Wenn Sie einen Wert höher als diese Einstellung angeben, schlägt die Operation fehl. Diese Einstellung kann einen Höchstwert von 12 Stunden haben. Wenn Sie beispielsweise eine Sitzungsdauer von zwölf Stunden angeben, Ihr Administrator aber die maximale Sitzungsdauer auf sechs Stunden festgelegt hat, schlägt die Operation fehl. Weitere Informationen dazu, wie Sie den maximalen Wert für Ihre Rolle anzeigen, finden Sie unter [Aktualisieren der maximalen Sitzungsdauer für eine Rolle](id_roles_update-role-settings.md#id_roles_update-session-duration).
Wenn Sie [*Verketten*](id_roles.md#iam-term-role-chaining) verwenden (Verwendung einer Rolle, um eine zweite Rolle anzunehmen), ist Ihre Sitzung auf maximale eine Stunde begrenzt. Wenn Sie den `DurationSeconds`-Parameter verwenden, um einen Wert größer als eine Stunde anzugeben, schlägt die Operation fehl.
## Ich erhalte einen Fehler, wenn ich versuche, Rollen in der IAM-Konsole zu wechseln
Die Informationen, die Sie auf der Seite **Switch Role (Rolle wechseln)** eingeben, müssen mit den Informationen für die Rolle übereinstimmen. Andernfalls schlägt der Vorgang fehl und Sie erhalten die folgende Fehlermeldung:
`Invalid information in one or more fields. Check your information or contact your administrator.`
Wenn dieser Fehler angezeigt wird, bestätigen Sie, dass die folgenden Informationen korrekt sind:
+ **Konto-ID oder Alias** — Die AWS-Konto ID ist eine 12-stellige Zahl. Ihr Konto hat möglicherweise einen Alias, bei dem es sich um eine benutzerfreundliche Kennung wie Ihren Firmennamen handelt, der anstelle Ihrer AWS-Konto ID verwendet werden kann. Sie können entweder die Konto-ID oder den Alias in diesem Feld verwenden.
+ **Role name (Rollenname)** – Bei Rollennamen wird die Groß-/Kleinschreibung beachtet. Die Konto-ID und der Rollenname müssen mit dem für die Rolle konfigurierten Wert übereinstimmen.
Wenn Sie weiterhin eine Fehlermeldung erhalten, wenden Sie sich an Ihren Administrator, um die vorherigen Informationen zu überprüfen. Möglicherweise schränkt die Rollenvertrauensrichtlinie oder die IAM-Benutzerrichtlinie Ihren Zugriff ein. Ihr Administrator kann die Berechtigungen für diese Richtlinien überprüfen.
## Zu meiner Rolle gehört eine Richtlinie, die es mir erlaubt, eine Aktion durchzuführen, ich erhalte aber einen "Zugriff verweigert"-Fehler
Ihre Rollensitzung wird möglicherweise durch Sitzungsrichtlinien beschränkt. Wenn Sie [temporäre Sicherheitsanmeldedaten programmgesteuert anfordern](id_credentials_temp_request.md) AWS STS, können Sie optional interne oder verwaltete [Sitzungsrichtlinien](access_policies.md#policies_session) übergeben. Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie programmgesteuert eine Sitzung mit temporären Anmeldeinformationen für eine Rolle erstellen. Sie können ein einzelnes JSON-Inline-Sitzungsrichtliniendokument mit dem `Policy`-Parameter übergeben. Sie können mit dem Parameter `PolicyArns` bis zu 10 verwaltete Sitzungsrichtlinien angeben. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des Benutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien. Es kann auch sein, dass, wenn Ihr Administrator oder ein benutzerdefiniertes Programm Ihnen temporäre Anmeldeinformationen bereitstellt, bereits eine Sitzungsrichtlinie zum Einschränken Ihres Zugriffs enthalten ist.
## Der Service hat die Standardrichtlinienversion der Rolle nicht erstellt
Eine Servicerolle ist eine Rolle, die ein Service annimmt, um Aktionen in Ihrem Konto für Sie auszuführen. Wenn Sie einige AWS Serviceumgebungen einrichten, müssen Sie eine Rolle definieren, die der Dienst übernehmen soll. In einigen Fällen erstellt der Service die Servicerolle und die zugehörige Richtlinie in IAM für Sie. Obwohl Sie die Servicerolle und ihre Richtlinie innerhalb von IAM ändern oder löschen können, wird dies von AWS nicht empfohlen. Die Rolle und die Richtlinie sind nur für die Verwendung durch diesen Service bestimmt. Wenn Sie die Richtlinie bearbeiten und eine andere Umgebung einrichten, kann die Operation fehlschlagen, wenn der Service versucht, dieselbe Rolle und Richtlinie zu verwenden.
Wenn Sie den Dienst beispielsweise AWS CodeBuild zum ersten Mal verwenden, erstellt er eine Rolle mit dem Namen`codebuild-RWBCore-service-role`. Diese Servicerolle verwendet die Richtlinie namens `codebuild-RWBCore-managed-policy`. Wenn Sie die Richtlinie bearbeiten, wird eine neue Version erstellt und diese als Standardversion gespeichert. Wenn Sie einen nachfolgenden Vorgang in ausführen AWS CodeBuild, versucht der Dienst möglicherweise, die Richtlinie zu aktualisieren. Wenn dies der Fall ist, wird die folgende Fehlermeldung angezeigt:
`codebuild.amazon.com did not create the default version (V2) of the codebuild-RWBCore-managed-policy policy that is attached to the codebuild-RWBCore-service-role role. To continue, detach the policy from any other identities and then delete the policy and the role.`
Wenn dieser Fehler angezeigt wird, müssen Sie Änderungen in IAM vornehmen, bevor Sie mit der Serviceoperation fortfahren können. Legen Sie zunächst die Standardrichtlinienversion auf V1 fest, und versuchen Sie, die Operation erneut durchzuführen. Wenn V1 zuvor gelöscht wurde oder die Auswahl von V1 nicht funktioniert, bereinigen und löschen Sie die vorhandene Richtlinie und Rolle.
Weitere Informationen zum Bearbeiten verwalteter Richtlinien finden Sie unter [Bearbeiten von kundenverwalteten Richtlinien (Konsole)](access_policies_manage-edit-console.md#edit-customer-managed-policy-console). Weitere Informationen zu Richtlinienversionen finden Sie unter [Versioning von IAM-Richtlinien](access_policies_managed-versioning.md).
**So löschen Sie eine Servicerolle und ihre Richtlinie:**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Policies**.
1. Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, die sie löschen möchten.
1. Wählen Sie die Registerkarte **Entities attached** (Angefügte Entitäten) aus, um anzuzeigen, welche IAM-Benutzer, -Gruppen oder -Rollen diese Richtlinie verwenden. Wenn eine dieser Identitäten die Richtlinie verwendet, führen Sie die folgenden Aufgaben aus:
1. Erstellen Sie eine neue verwaltete Richtlinie mit den erforderlichen Berechtigungen. Um sicherzustellen, dass die Identitäten vor und nach Ihren Aktionen dieselben Berechtigungen haben, kopieren Sie das JSON-Richtliniendokument aus der vorhandenen Richtlinie. Erstellen Sie dann die neue verwaltete Richtlinie, und fügen Sie das JSON-Dokument ein, wie unter [Creating Policies using the JSON editor](access_policies_create-console.md#access_policies_create-json-editor) (Erstellen von Richtlinien mit dem JSON-Editor) beschrieben.
1. Hängen Sie für jede betroffene Identität die neue Richtlinie an, und trennen Sie dann die alte davon. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).
1. Wählen Sie im Navigationsbereich **Roles**.
1. Wählen Sie in der Liste der Rollen den Namen der Rolle aus, die Sie löschen möchten.
1. Wählen Sie die Registerkarte **Trust relatiuonships (Vertrauensbeziehungen)**, um anzuzeigen, welche Entitäten die Rolle übernehmen können. Wenn eine andere Entität als der Service aufgeführt ist, führen Sie die folgenden Aufgaben aus:
1. [Erstellen Sie eine neue Rolle](id_roles_create_for-user.md#roles-creatingrole-user-console), die diesen Entitäten vertraut.
1. Die Richtlinie, die Sie im vorherigen Schritt erstellt haben. Wenn Sie diesen Schritt übersprungen haben, erstellen Sie jetzt die neue verwaltete Richtlinie.
1. Benachrichtigen Sie alle, die die Rolle angenommen haben darüber, dass dies jetzt nicht mehr möglich ist. Informieren Sie diese Personen darüber, wie Sie die neue Rolle übernehmen und über dieselben Berechtigungen verfügen können.
1. [Löschen Sie die Richtlinie](access_policies_manage-delete-console.md#delete-customer-managed-policy-console).
1. [Löschen Sie die Rolle](id_roles_manage_delete.md#roles-managingrole-deleting-console).
## Es gibt keinen Anwendungsfall für eine Servicerolle in der Konsole
Bei einigen Diensten müssen Sie manuell eine Servicerolle erstellen, um dem Dienst Berechtigungen zum Durchführen von Aktionen in Ihrem Namen zu erteilen. Wenn der Dienst nicht in der IAM-Konsole aufgeführt ist, müssen Sie den Dienst manuell als vertrauenswürdigen Auftraggeber auflisten. Wenn die Dokumentation für den Dienst oder das Feature, die Sie verwenden, keine Anweisungen zur Auflistung des Dienstes als vertrauenswürdigen Auftraggeber enthält, geben Sie Feedback für die Seite an.
Um eine Servicerolle manuell erstellen zu können, müssen Sie den [Dienstauftraggeber](reference_policies_elements_principal.md#principal-services) für den Dienst kennen, der die Rolle übernehmen wird. Ein Dienstauftraggeber ist eine Kennung, die verwendet wird, um einem Service Berechtigungen zu erteilen. Der Dienstauftraggeber wird durch den Service definiert.
Sie finden den Dienstauftraggeber für einige Dienste, indem Sie Folgendes überprüfen:
1. Öffnen Sie [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).
1. Überprüfen Sie, ob der Service in der Spalte **Service-linked roles** (Serviceverknüpfte Rollen) **Yes** (Ja) anzeigt.
1. Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
1. Suchen Sie den Abschnitt „Berechtigungen von serviceverknüpften Rollen“ für diesen Service, um den [Dienstauftraggeber](reference_policies_elements_principal.md#principal-services) anzuzeigen.
Sie können eine Servicerolle manuell mithilfe von [AWS CLI Befehlen](id_roles_create_for-service.md#roles-creatingrole-service-cli) oder [AWS API-Operationen](id_roles_create_for-service.md#roles-creatingrole-service-api)erstellen. Um eine Servicerolle manuell mit der IAM-Konsole zu erstellen, führen Sie die folgenden Aufgaben aus:
1. Erstellen Sie eine IAM-Rolle mit Ihrer Konto-ID. Hängen Sie keine Richtlinie an oder gewähren Sie keine Berechtigungen. Details hierzu finden Sie unter [Erstellen einer Rolle zum Erteilen von Berechtigungen an einen IAM-Benutzer](id_roles_create_for-user.md).
1. Öffnen Sie die Rolle und bearbeiten Sie die Vertrauensbeziehung. Anstatt dem Konto zu vertrauen, muss die Rolle dem Dienst vertrauen. Aktualisieren Sie zum Beispiel das folgende `Principal`-Element:
```
"Principal": { "AWS": "arn:aws:iam::123456789012:root" }
```
Ändern Sie den Auftraggeber auf den Wert für Ihren Service, wie z. B. IAM.
```
"Principal": { "Service": "iam.amazonaws.com" }
```
1. Fügen Sie die Berechtigungen hinzu, die der Dienst benötigt, indem Sie der Rolle Berechtigungsrichtlinien hinzufügen.
1. Kehren Sie zu dem Dienst zurück, der die Berechtigungen benötigt, und verwenden Sie die dokumentierte Methode, um den Dienst über die neue Servicerolle zu informieren.
# Fehlerbehebung bei IAM und Amazon EC2
Die folgenden Informationen können Ihnen bei der Behebung von IAM-Problemen mit Amazon EC2 helfen.
**Topics**
+ [Wenn ich versuche, eine Instance zu starten, wird die Rolle nicht in der Liste der **IAM-Rolle** der Amazon-EC2-Konsole angezeigt](#troubleshoot_iam-ec2_missingrole)
+ [Die Anmeldeinformationen auf meiner Instance beziehen sich auf die falsche Rolle.](#troubleshoot_iam-ec2_wrongrole)
+ [Wenn ich versuche, `AddRoleToInstanceProfile` aufzurufen, wird ein `AccessDenied`-Fehler angezeigt](#troubleshoot_iam-ec2_access-denied-adding-role)
+ [Amazon EC2: Wenn ich versuche, eine Instance mit einer Rolle zu starten, erhalte ich einen `AccessDenied`-Fehler](#troubleshoot_iam-ec2_access-denied-launch)
+ [Ich kann nicht auf die temporären Anmeldeinformationen in meiner EC2-Instance zugreifen.](#troubleshoot_iam-ec2_no-keys)
+ [Was bedeuten die Fehler aus dem `info`-Dokument in der IAM-Unterstruktur?](#troubleshoot_iam-ec2_errors-info-doc)
## Wenn ich versuche, eine Instance zu starten, wird die Rolle nicht in der Liste der **IAM-Rolle** der Amazon-EC2-Konsole angezeigt
Überprüfen Sie, ob Folgendes der Fall ist:
+ Wenn Sie als IAM-Benutzer angemeldet sind, stellen Sie sicher, dass Sie über die Berechtigung zum Aufrufen von `ListInstanceProfiles` verfügen. Informationen zu den für die Arbeit mit Rollen erforderlichen Berechtigungen finden Sie unter [Erforderliche Berechtigungen für die Nutzung von Rollen mit Amazon EC2](id_roles_use_switch-role-ec2.md#roles-usingrole-ec2instance-permissions). Informationen zum Hinzufügen von Berechtigungen zu einem Benutzer finden Sie unter [Verwalten von IAM-Richtlinien](access_policies_manage.md).
Wenn Sie Ihre eigenen Berechtigungen nicht ändern können, müssen Sie sich an einen Administrator wenden, der mit IAM arbeiten kann, um Ihre Berechtigungen zu aktualisieren.
+ Wenn Sie eine Rolle mithilfe der IAM-CLI oder -API erstellt haben, überprüfen Sie Folgendes:
+ Sie haben ein Instance-Profil erstellt und diesem Instance-Profil die Rolle hinzugefügt.
+ Sie haben für die Rolle und das Instance-Profil denselben Namen verwendet. Wenn Sie Ihre Rolle und Ihr Instance-Profil unterschiedlich benennen, wird in der Amazon-EC2-Konsole nicht der richtige Rollenname angezeigt.
Die **IAM-Rollen**-Liste in der Amazon EC2-Konsole listet die Namen der Instanceprofile auf, nicht die Namen der Rollen. Sie müssen den Namen des Instance-Profils auswählen, das die gewünschte Rolle enthält. Weitere Informationen zu Instance-Profilen finden Sie unter [Verwendung von Instance-Profilen](id_roles_use_switch-role-ec2_instance-profiles.md).
**Anmerkung**
Wenn Sie die IAM-Konsole zum Erstellen von Rollen verwenden, müssen Sie nicht mit Instance-Profilen arbeiten. Für jede Rolle, die Sie in der IAM-Konsole erstellen, wird ein Instance-Profil mit demselben Namen wie die Rolle erstellt, und die Rolle wird automatisch diesem Instance-Profil hinzugefügt. Ein Instance-Profil kann nur eine IAM-Rolle enthalten und dieses Limit kann nicht erhöht werden.
## Die Anmeldeinformationen auf meiner Instance beziehen sich auf die falsche Rolle.
Die Rolle im Instance-Profil wurde möglicherweise kürzlich ausgetauscht. Wenn dies der Fall ist, muss Ihre Anwendung auf die nächste automatisch geplante Rotation von Anmeldeinformationen warten. Erst dann sind wieder Anmeldeinformationen für Ihre Rolle verfügbar.
Wenn Sie die Änderung erzwingen möchten, müssen Sie [die Zuweisung des Instance-Profils aufheben](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DisassociateIamInstanceProfile.html) und dann [das Instance-Profil zuweisen](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AssociateIamInstanceProfile.html), oder Sie beenden Ihre Instance und starten sie neu.
## Wenn ich versuche, `AddRoleToInstanceProfile` aufzurufen, wird ein `AccessDenied`-Fehler angezeigt
Wenn Sie Anforderungen als IAM-Benutzer erstellen, vergewissern Sie sich, dass Sie über die folgenden Berechtigungen verfügen:
+ `iam:AddRoleToInstanceProfile` mit der Ressource entsprechend dem ARN des Instance-Profils (z. B. `arn:aws:iam::999999999999:instance-profile/ExampleInstanceProfile`)
Weitere Informationen zu den Berechtigungen, die zum Arbeiten mit Rollen erforderlich sind, finden Sie unter [Was sind die ersten Schritte?](id_roles_use_switch-role-ec2.md#roles-usingrole-ec2instance-get-started). Informationen zum Hinzufügen von Berechtigungen zu einem Benutzer finden Sie unter [Verwalten von IAM-Richtlinien](access_policies_manage.md).
## Amazon EC2: Wenn ich versuche, eine Instance mit einer Rolle zu starten, erhalte ich einen `AccessDenied`-Fehler
Überprüfen Sie, ob Folgendes der Fall ist:
+ Starten Sie eine Instance ohne Instance-Profil. Auf diese Weise wird sichergestellt, dass das Problem auf IAM-Rollen für Amazon EC2-Instances beschränkt ist.
+ Wenn Sie Anforderungen als IAM-Benutzer erstellen, vergewissern Sie sich, dass Sie über die folgenden Berechtigungen verfügen:
+ `ec2:RunInstances` mit einer Platzhalterressource ("\$1")
+ `iam:PassRole` mit der Ressource entsprechend dem ARN der Rolle (z. B. `arn:aws:iam::999999999999:role/ExampleRoleName`)
+ Rufen Sie die IAM-Aktion `GetInstanceProfile` auf, um sicherzustellen, dass Sie einen gültigen Instance-Profilnamen oder einen gültigen Instance-Profil-ARN verwenden. Weitere Informationen finden Sie unter [Using IAM roles with Amazon EC2 instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/UsingIAM.html#UsingIAMrolesWithAmazonEC2Instances).
+ Rufen Sie die IAM-Aktion `GetInstanceProfile` auf, um sicherzustellen, dass das Instance-Profil eine Rolle hat. Leere Instance-Profile schlagen mit einem `AccessDenied`-Fehler fehl. Weitere Informationen zum Erstellen einer Rolle finden Sie unter [Erstellung einer IAM-Rolle](id_roles_create.md).
Weitere Informationen zu den Berechtigungen, die zum Arbeiten mit Rollen erforderlich sind, finden Sie unter [Was sind die ersten Schritte?](id_roles_use_switch-role-ec2.md#roles-usingrole-ec2instance-get-started). Informationen zum Hinzufügen von Berechtigungen zu einem Benutzer finden Sie unter [Verwalten von IAM-Richtlinien](access_policies_manage.md).
## Ich kann nicht auf die temporären Anmeldeinformationen in meiner EC2-Instance zugreifen.
Um auf die temporären Sicherheitsanmeldeinformationen Ihrer EC2-Instance zuzugreifen, müssen Sie zuerst die IAM-Konsole verwenden, um eine Rolle zu erstellen. Dann starten Sie eine EC2-Instance, die diese Rolle verwendet und untersuchen die laufende Instance. Weitere Informationen finden Sie unter **Erste Schritte** in [Verwendung einer IAM-Rolle zur Gewährung von Berechtigungen für Anwendungen, die in Amazon-EC2-Instances ausgeführt werden](id_roles_use_switch-role-ec2.md).
Wenn Sie immer noch keinen Zugriff auf Ihre temporären Sicherheitsanmeldeinformationen in Ihrer EC2-Instance haben, überprüfen Sie Folgendes:
+ Können Sie auf einen anderen Teil des Instance Metadata Service (IMDS) zugreifen? Falls nicht, überprüfen Sie, ob nicht Firewall-Regeln den Zugriff auf Anfragen an den IMDS blockieren.
```
[ec2-user@domU-12-31-39-0A-8D-DE ~]$ GET http://169.254.169.254/latest/meta-data/hostname; echo
```
+ Ist die `iam`-Unterstruktur des IMDS vorhanden? Wenn nicht, überprüfen Sie, ob Ihrer Instance ein IAM-Instance-Profil zugeordnet ist, indem Sie die EC2 `DescribeInstances`-API-Operation aufrufen oder den `aws ec2 describe-instances`-CLI-Befehl verwenden.
```
[ec2-user@domU-12-31-39-0A-8D-DE ~]$ GET http://169.254.169.254/latest/meta-data/iam; echo
```
+ Überprüfen Sie das `info`-Dokument in der IAM-Unterstruktur auf Fehler. Wenn ein Fehler vorliegt, finden Sie weitere Informationen unter [Was bedeuten die Fehler aus dem `info`-Dokument in der IAM-Unterstruktur?](#troubleshoot_iam-ec2_errors-info-doc).
```
[ec2-user@domU-12-31-39-0A-8D-DE ~]$ GET http://169.254.169.254/latest/meta-data/iam/info; echo
```
## Was bedeuten die Fehler aus dem `info`-Dokument in der IAM-Unterstruktur?
### Das `iam/info`-Dokument gibt Folgendes an: `"Code":"InstanceProfileNotFound"`
Ihr IAM-Instance-Profil wurde gelöscht und Amazon EC2 kann keine Anmeldeinformationen mehr für Ihre Instance bereitstellen. Sie müssen ein gültiges Instance-Profil zu Ihrer Amazon EC2-Instance anfügen.
Wenn ein Instance-Profil mit diesem Namen vorhanden ist, prüfen Sie, ob das Instance-Profil nicht gelöscht und ein zweites Profil mit demselben Namen erstellt wurde:
1. Rufen Sie die IAM–`GetInstanceProfile`Operation auf, um die `InstanceProfileId` zu erhalten.
1. Rufen Sie die Amazon EC2–`DescribeInstances`Operation auf, um die `IamInstanceProfileId` für die Instance zu erhalten.
1. Überprüfen Sie, ob die `InstanceProfileId` aus der IAM-Operation mit der `IamInstanceProfileId` aus der Amazon EC2-Operation übereinstimmt.
Wenn sie unterschiedlich IDs sind, ist das mit Ihren Instances verknüpfte Instanzprofil nicht mehr gültig. Sie müssen ein gültiges Instance-Profil an Ihre Instance anfügen.
### Das `iam/info`-Dokument gibt an, dass der Vorgang erfolgreich war, gibt aber Folgendes an: `"Message":"Instance Profile does not contain a role..."`
Die Rolle wurde mit der IAM-Aktion `RemoveRoleFromInstanceProfile` aus dem Instance-Profil entfernt. Sie können die IAM–`AddRoleToInstanceProfile`-Aktion verwenden, um eine Rolle an das Instance-Profil anzufügen. Ihre Anwendung muss bis zur nächsten geplanten Aktualisierungen warten, um auf die Anmeldeinformationen für die Rolle zuzugreifen.
Wenn Sie die Änderung erzwingen möchten, müssen Sie [die Zuweisung des Instance-Profils aufheben](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DisassociateIamInstanceProfile.html) und dann [das Instance-Profil zuweisen](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AssociateIamInstanceProfile.html), oder Sie beenden Ihre Instance und starten sie neu.
### Das `iam/security-credentials/[role-name]`-Dokument gibt Folgendes an: `"Code":"AssumeRoleUnauthorizedAccess"`
Amazon EC2; verfügt nicht über die Berechtigung, die Rolle zu übernehmen. Die Berechtigung zum Übernehmen der Rolle wird über die an die Rolle angefügte Vertrauensrichtlinie gesteuert, wie im folgenden Beispiel veranschaulicht: Verwenden Sie die IAM–`UpdateAssumeRolePolicy`-API zum Aktualisieren der Vertrauensrichtlinie.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"Service": ["ec2.amazonaws.com"]},"Action": ["sts:AssumeRole"]}]}
```
------
Ihre Anwendung muss bis zur nächsten automatisch geplanten Aktualisierungen warten, um auf die Anmeldeinformationen für die Rolle zuzugreifen.
Wenn Sie die Änderung erzwingen möchten, müssen Sie [die Zuweisung des Instance-Profils aufheben](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DisassociateIamInstanceProfile.html) und dann [das Instance-Profil zuweisen](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AssociateIamInstanceProfile.html), oder Sie beenden Ihre Instance und starten sie neu.
# Fehlerbehebung bei IAM und Amazon S3
Diese Informationen helfen Ihnen bei der Fehlersuche und der Behebung von Problemen, die bei der Arbeit mit Amazon S3 und IAM auftreten können.
## Wie gewähre ich anonymen Zugriff auf einen Amazon S3-Bucket?
Verwenden Sie eine Amazon S3-Bucket-Richtlinie mit einem Platzhalter (\$1) im Element `principal`, sodass beliebige Benutzer auf den Bucket zugreifen können. Mit anonymem Zugriff kann jeder (auch Benutzer ohne AWS-Konto) auf den Bucket zugreifen. Beispiele für Richtlinien finden Sie unter [Beispiele für Amazon-S3-Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/dev/AccessPolicyLanguage_UseCases_s3_a.html) im *Benutzerhandbuch für Amazon Simple Storage Service*.
## Ich bin als AWS-Konto Root-Benutzer angemeldet. Warum kann ich in meinem Konto nicht auf einen Amazon-S3-Bucket zugreifen?
Möglicherweise haben Sie einen IAM-Benutzer mit Vollzugriff auf IAM und Amazon S3. Wenn dieser IAM-Benutzer einem Amazon S3-Bucket eine Bucket-Richtlinie zuweist und den Stammbenutzer des -Kontos nicht als Auftraggeber angibt, erhält der Stammbenutzer keinen Zugriff auf diesen Bucket. Als Stammbenutzer können Sie immer noch auf den Bucket zugreifen. Bearbeiten Sie dazu die Bucket-Richtlinie, um einen Stammbenutzer-Zugriff über die Amazon S3-Konsole oder der AWS CLI zuzulassen. Verwenden Sie den folgenden Prinzipal und *123456789012* ersetzen Sie ihn durch die ID von AWS-Konto.
```
"Principal": { "AWS": "arn:aws:iam::123456789012:root" }
```
# Fehlerbehebung beim SAML-Verbund mit IAM
Verwenden Sie die hier aufgeführten Informationen, um Probleme zu diagnostizieren und zu beheben, die beim Arbeiten mit SAML 2.0 und Verbund in AWS Identity and Access Management auftreten können.
**Topics**
+ [Fehler: Ihre Anforderung enthielt eine ungültige SAML-Antwort. Klicken Sie hier, um sich abzumelden.](#troubleshoot_saml_invalid-response)
+ [Fehler: RoleSessionName ist erforderlich in AuthnResponse (Service: AWSSecurityTokenService; Statuscode: 400; Fehlercode: InvalidIdentityToken)](#troubleshoot_saml_missing-rolesessionname)
+ [Fehler: Nicht autorisiert, sts: AssumeRoleWith SAML auszuführen (Service: AWSSecurityTokenService; Statuscode: 403; Fehlercode: AccessDenied)](#troubleshoot_saml_missing-role)
+ [Fehler: Die RoleSessionName Eingabe AuthnResponse muss mit [a-zA-Z\$10-9\$1=, .@-] \$12,64\$1 übereinstimmen (Service:; Statuscode: 400; Fehlercode:) AWSSecurity TokenService InvalidIdentityToken](#troubleshoot_saml_invalid-rolesessionname)
+ [Fehler: Die Quellenidentität muss mit [A-Za-Z\$10-9\$1=, .@-] \$12,64\$1 übereinstimmen und darf nicht mit `"aws:"` (Service:; Statuscode: 400; Fehlercode: AWSSecurityTokenService) beginnen InvalidIdentityToken](#troubleshoot_saml_invalid-sourceidentity)
+ [Fehler: Die Antwortsignatur ist ungültig (Dienst:; Statuscode: 400; Fehlercode: AWSSecurityTokenService) InvalidIdentityToken](#troubleshoot_saml_invalid-metadata)
+ [Fehler: Ungültiger privater Schlüssel.](#troubleshoot_saml_invalid-private-key)
+ [Fehler: Privater Schlüssel konnte nicht entfernt werden.](#troubleshoot_saml_invalid-remove-key)
+ [Fehler: Der private Schlüssel konnte nicht entfernt werden, da die Schlüssel-ID nicht mit einem privaten Schlüssel übereinstimmt.](#troubleshoot_saml_invalid-remove-key-mismatch)
+ [Fehler: Die Rolle konnte nicht übernommen werden: Der Aussteller ist beim angegebenen Anbieter nicht vorhanden (Dienst: AWSOpenIdDiscoveryService; Statuscode: 400; Fehlercode:) AuthSamlInvalidSamlResponseException](#troubleshoot_saml_issuer-mismatch)
+ [Error: Could not parse metadata.](#troubleshoot_saml_issuer-metadata)
+ [Fehler: Identitätsanbieter konnte nicht aktualisiert werden. Für Metadaten oder Verschlüsselungs-Assertionen sind keine Aktualisierungen definiert.](#troubleshoot_saml_unable-to-update)
+ [Fehler: Der Assertion-Verschlüsselungsmodus konnte nicht auf „Erforderlich“ festgelegt werden, da kein privater Schlüssel bereitgestellt wurde.](#troubleshoot_saml_issuer-private-key-required)
+ [Fehler: Private Schlüssel können nicht in derselben Anfrage hinzugefügt und entfernt werden. Legen Sie nur für einen der beiden Parameter einen Wert fest.](#troubleshoot_saml_add-remove-keys)
+ [Fehler: Der angegebene Anbieter ist nicht vorhanden.](#troubleshoot_saml_provider-doesnotexist)
+ [Fehler: Angefordert DurationSeconds überschreitet den für diese Rolle MaxSessionDuration festgelegten Wert.](#troubleshoot_saml_duration-exceeds)
+ [Fehler: Die Begrenzung auf 2 private Schlüssel ist erreicht.](#troubleshoot_saml_private-key-exceeds)
+ [Fehler: Die Antwort enthält nicht die erforderliche Zielgruppe.](#troubleshoot_saml_required-audience)
## Fehler: Ihre Anforderung enthielt eine ungültige SAML-Antwort. Klicken Sie hier, um sich abzumelden.
Dieser Fehler kann auftreten, wenn die SAML-Antwort des Identitätsanbieters kein Attribut mit `Name` mit dem Wert `https://aws.amazon.com/SAML/Attributes/Role` enthält. Das Attribut muss mindestens ein Element `AttributeValue` mit durch Komma getrennten Zeichenfolgen enthalten:
+ Der ARN einer Rolle, der der Benutzer zugeordnet werden kann
+ Der ARN des SAML-Anbieters
Der Fehler kann auch auftreten, wenn die vom Identitätsanbieter gesendeten SAML-Attributwerte voran- oder nachgestellte Leerzeichen oder andere ungültige Zeichen enthalten. Weitere Informationen zu den erwarteten Werten für SAML-Attribute finden Sie unter [Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion](id_roles_providers_create_saml_assertions.md).
Weitere Informationen finden Sie unter [Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion](id_roles_providers_create_saml_assertions.md). Befolgen Sie die Anleitung unter [SAML-Antwort in Ihrem Browser anzeigen](troubleshoot_saml_view-saml-response.md), um die SAML-Antwort im Browser anzuzeigen.
## Fehler: RoleSessionName ist erforderlich in AuthnResponse (Service: AWSSecurityTokenService; Statuscode: 400; Fehlercode: InvalidIdentityToken)
Dieser Fehler kann auftreten, wenn die SAML-Antwort des Identitätsanbieters kein Attribut mit `Name` mit dem Wert `https://aws.amazon.com/SAML/Attributes/RoleSessionName` enthält. Der Attributwert ist eine Kennung für den Benutzer. Normalerweise handelt es sich dabei um eine Benutzer-ID oder eine E-Mail-Adresse.
Weitere Informationen finden Sie unter [Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion](id_roles_providers_create_saml_assertions.md). Befolgen Sie die Anleitung unter [SAML-Antwort in Ihrem Browser anzeigen](troubleshoot_saml_view-saml-response.md), um die SAML-Antwort im Browser anzuzeigen.
## Fehler: Nicht autorisiert, sts: AssumeRoleWith SAML auszuführen (Service: AWSSecurityTokenService; Statuscode: 403; Fehlercode: AccessDenied)
Dieser Fehler kann auftreten, wenn die in der SAML-Antwort angegebene IAM-Rolle einen Tippfehler enthält oder nicht vorhanden ist. Achten Sie darauf, den genauen Namen Ihrer Rolle zu verwenden, da bei Rollennamen die Groß-/Kleinschreibung beachtet wird. Korrigieren Sie den Namen der Rolle in der Konfiguration des SAML-Serviceanbieters.
Sie haben nur dann Zugriff, wenn Ihre Rollenvertrauensrichtlinie die `sts:AssumeRoleWithSAML`-Aktion enthält. Wenn Ihre SAML-Zusicherung für die Verwendung des [`PrincipalTag`-Attributs](id_roles_providers_create_saml_assertions.md#saml_role-session-tags) konfiguriert ist, muss Ihre Vertrauensrichtlinie auch die `sts:TagSession`-Aktion enthalten. Weitere Hinweise zu Sitzungs-Tags finden Sie unter [Sitzungs-Tags übergeben AWS STS](id_session-tags.md).
Dieser Fehler kann auftreten, wenn Sie nicht `sts:SetSourceIdentity`-Berechtigungen in Ihrer Rollenvertrauensrichtlinie. Wenn Ihre SAML-Zusicherung für die Verwendung des [`SourceIdentity`](id_roles_providers_create_saml_assertions.md#saml_sourceidentity)-Attributs konfiguriert ist, muss Ihre Vertrauensrichtlinie auch die `sts:SetSourceIdentity`-Aktion enthalten. Weitere Informationen zu Quellidentität finden Sie unter [Überwachen und Steuern von Aktionen mit übernommenen Rollen](id_credentials_temp_control-access_monitor.md).
Dieser Fehler kann auch auftreten, wenn ein Verbundprinzipal nicht über die Berechtigung zum Annehmen der Rolle verfügt. Die Rolle muss eine Vertrauensrichtlinie enthalten, in der der ARN des IAM-SAML-Identitätsanbieter als `Principal` angegeben ist. Die Rolle enthält zudem Bedingungen, über die gesteuert wird, welche Benutzer die Rolle annehmen können. Stellen Sie sicher, dass Benutzer die Anforderungen dieser Bedingungen erfüllen.
Dieser Fehler kann auch auftreten, wenn die SAML-Antwort nicht `Subject` mit dem Wert `NameID` enthält.
Weitere Informationen erhalten Sie unter [Aktivieren des Zugriffs von SAML 2.0-Verbundprinzipalen auf AWS-Managementkonsole](id_roles_providers_enable-console-saml.md) und [Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion](id_roles_providers_create_saml_assertions.md). Befolgen Sie die Anleitung unter [SAML-Antwort in Ihrem Browser anzeigen](troubleshoot_saml_view-saml-response.md), um die SAML-Antwort im Browser anzuzeigen.
## Fehler: Die RoleSessionName Eingabe AuthnResponse muss mit [a-zA-Z\$10-9\$1=, .@-] \$12,64\$1 übereinstimmen (Service:; Statuscode: 400; Fehlercode:) AWSSecurity TokenService InvalidIdentityToken
Dieser Fehler kann auftreten, wenn der Attributwert `RoleSessionName` zu hoch ist oder ungültige Zeichen enthält. Die maximal zulässige Länge beträgt 64 Zeichen.
Weitere Informationen finden Sie unter [Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion](id_roles_providers_create_saml_assertions.md). Befolgen Sie die Anleitung unter [SAML-Antwort in Ihrem Browser anzeigen](troubleshoot_saml_view-saml-response.md), um die SAML-Antwort im Browser anzuzeigen.
## Fehler: Die Quellenidentität muss mit [A-Za-Z\$10-9\$1=, .@-] \$12,64\$1 übereinstimmen und darf nicht mit `"aws:"` (Service:; Statuscode: 400; Fehlercode: AWSSecurityTokenService) beginnen InvalidIdentityToken
Dieser Fehler kann auftreten, wenn der Attributwert `sourceIdentity` zu hoch ist oder ungültige Zeichen enthält. Die maximal zulässige Länge beträgt 64 Zeichen. Weitere Informationen zu Quellidentität finden Sie unter [Überwachen und Steuern von Aktionen mit übernommenen Rollen](id_credentials_temp_control-access_monitor.md).
Weitere Informationen zum Erstellen von SAML-Assertionen finden Sie unter [Konfigurieren von SAML-Assertionen für die Authentifizierungsreaktion](id_roles_providers_create_saml_assertions.md). Befolgen Sie die Anleitung unter [SAML-Antwort in Ihrem Browser anzeigen](troubleshoot_saml_view-saml-response.md), um die SAML-Antwort im Browser anzuzeigen.
## Fehler: Die Antwortsignatur ist ungültig (Dienst:; Statuscode: 400; Fehlercode: AWSSecurityTokenService) InvalidIdentityToken
Dieser Fehler kann auftreten, wenn Verbundmetadaten des Identitätsanbieters nicht mit den Metadaten des IAM-Identitätsanbieters übereinstimmen. Es kann beispielsweise sein, dass sich die Metadatendatei des Identitätsserviceanbieters geändert hat, um ein abgelaufenes Zertifikat zu aktualisieren. Laden Sie die aktualisierte SAML-Metadatendatei des Identitätsserviceanbieters herunter. Aktualisieren Sie es dann in der AWS Identitätsanbieter-Entität, die Sie in IAM mit dem `aws iam update-saml-provider` plattformübergreifenden CLI-Befehl oder dem `Update-IAMSAMLProvider` PowerShell Cmdlet definieren.
## Fehler: Ungültiger privater Schlüssel.
Dieser Fehler kann auftreten, wenn Sie Ihre private Schlüsseldatei nicht richtig formatieren. Dieser Fehler kann zusätzliche Informationen darüber liefern, warum der private Schlüssel ungültig ist:
+ Der Schlüssel ist verschlüsselt.
+ Das Schlüsselformat wird nicht erkannt. Bei der privaten Schlüsseldatei muss es sich um eine PEM-Datei handeln.
Wenn Sie [Erstellen eines SAML-Identitätsanbieters in IAM](id_roles_providers_create_saml.md) in der sind AWS-Managementkonsole, müssen Sie den privaten Schlüssel von Ihrem Identitätsanbieter herunterladen, um ihn IAM zur Aktivierung der Verschlüsselung zur Verfügung zu stellen. Der private Schlüssel muss eine PEM-Datei sein, die zum Entschlüsseln von SAML-Assertionen den Verschlüsselungsalgorithmus AES-GCM oder AES-CBC verwendet.
## Fehler: Privater Schlüssel konnte nicht entfernt werden.
Dieser Fehler kann auftreten, wenn die SAML-Verschlüsselung auf „Erforderlich“ eingestellt ist und Ihre Anforderung den einzigen privaten Entschlüsselungsschlüssel für den IAM-SAML-Anbieter entfernen würde. Weitere Informationen zum Rotieren von privaten Schlüsseln finden Sie unter [Verwaltung von SAML-Verschlüsselungsschlüssel](id_roles_providers_create_saml.md#id_federation_manage-saml-encryption).
## Fehler: Der private Schlüssel konnte nicht entfernt werden, da die Schlüssel-ID nicht mit einem privaten Schlüssel übereinstimmt.
Dieser Fehler kann auftreten, wenn der `keyId`-Wert für den privaten Schlüssel nicht mit einer der Schlüssel-IDs für die privaten Schlüsseldateien des Identitätsanbieters übereinstimmt.
Wenn Sie SAMLProvider API-Operationen verwenden [update-saml-provider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-saml-provider.html)oder [aktualisieren](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html), um private Schlüssel für die SAML-Verschlüsselung zu entfernen, `RemovePrivateKey` muss es sich bei dem Wert in um eine gültige Schlüssel-ID für einen privaten Schlüssel handeln, der mit Ihrem Identitätsanbieter verknüpft ist.
## Fehler: Die Rolle konnte nicht übernommen werden: Der Aussteller ist beim angegebenen Anbieter nicht vorhanden (Dienst: AWSOpenIdDiscoveryService; Statuscode: 400; Fehlercode:) AuthSamlInvalidSamlResponseException
Dieser Fehler kann auftreten, wenn der Aussteller in der SAML-Antwort nicht mit dem Aussteller übereinstimmt, der in der Verbundmetadatendatei angegeben wurde. Die Metadatendatei wurde hochgeladen, AWS als Sie den Identitätsanbieter in IAM erstellt haben.
## Error: Could not parse metadata.
Dieser Fehler kann auftreten, wenn Ihre Metadatendatei nicht ordnungsgemäß formatiert ist.
Wenn Sie in der [einen SAML-Identitätsanbieter erstellen oder verwalten](id_roles_providers_create_saml.md#idp-manage-identityprovider-console) AWS-Managementkonsole, müssen Sie das SAML-Metadatendokument von Ihrem Identitätsanbieter abrufen.
Diese Metadatendatei enthält den Namen des Ausstellers, Ablaufinformationen und Schlüssel, die zum Überprüfen der vom IdP empfangenen SAML-Authentifizierung (Zusicherungen) verwendet werden können. Die Metadatendatei muss im UTF-8-Format ohne BOM (Byte Order Mark, Markierung der Bytereihenfolge) codiert sein. Zum Entfernen der BOM können Sie die Datei mithilfe eines Textbearbeitung-Tools wie Notepad\$1\$1 als UTF-8 codieren.
Das X.509-Zertifikat, das Bestandteil des SAML-Metadatendokuments ist, muss eine Schlüsselgröße von mindestens 1024 Bit verwenden. Außerdem darf das X.509-Zertifikat auch keine wiederholten Erweiterungen enthalten. Sie können Erweiterungen verwenden, diese dürfen jedoch nur einmal im Zertifikat angezeigt werden. Wenn das X.509-Zertifikat keine der beiden Bedingungen erfüllt, schlägt die IDP-Erstellung fehl und gibt den Fehler „Metadaten können nicht geparst werden“ zurück.
Gemäß der Definition im [SAML V2.0 Metadata Interoperability Profile Version 1.0](https://docs.oasis-open.org/security/saml/Post2.0/sstc-metadata-iop-os.html) bewertet IAM das Ablaufdatum von X.509-Zertifikaten in SAML-Metadatendokumenten nicht und ergreift auch keine Maßnahmen diesbezüglich. Wenn Sie Bedenken hinsichtlich abgelaufener X.509-Zertifikate haben, empfehlen wir Ihnen, die Ablaufdaten der Zertifikate zu überwachen und die Zertifikate gemäß den Governance- und Sicherheitsrichtlinien Ihrer Organisation zu rotieren.
## Fehler: Identitätsanbieter konnte nicht aktualisiert werden. Für Metadaten oder Verschlüsselungs-Assertionen sind keine Aktualisierungen definiert.
Dieser Fehler kann auftreten, wenn Sie die `update-saml-provider`-CLI- oder `UpdateSAMLProvider`-API-Operationen verwenden, in Ihren Anforderungsparametern jedoch keine Aktualisierungswerte angeben. Weitere Informationen zum Aktualisieren Ihres IAM-SAML-Anbieters finden Sie unter [Erstellen eines SAML-Identitätsanbieters in IAM](id_roles_providers_create_saml.md).
## Fehler: Der Assertion-Verschlüsselungsmodus konnte nicht auf „Erforderlich“ festgelegt werden, da kein privater Schlüssel bereitgestellt wurde.
Dieser Fehler kann auftreten, wenn Sie zuvor keinen privaten Entschlüsselungsschlüssel hochgeladen haben und versuchen, die SAML-Verschlüsselung auf „Erforderlich“ festzulegen, ohne Ihrer Anforderung einen privaten Schlüssel beizufügen.
Stellen Sie sicher, dass für Ihren IAM-SAML-Anbieter ein privater Schlüssel definiert ist, wenn Sie `create-saml-provider`-CLI-, `CreateSAMLProvider`-API-, `update-saml-provider`-CLI- oder `UpdateSAMLProvider`-API-Operationen verwenden, um verschlüsselte SAML-Assertionen anzufordern.
## Fehler: Private Schlüssel können nicht in derselben Anfrage hinzugefügt und entfernt werden. Legen Sie nur für einen der beiden Parameter einen Wert fest.
Dieser Fehler kann auftreten, wenn in derselben Anforderung sowohl die Werte zum Hinzufügen als auch zum Entfernen privater Schlüssel enthalten sind.
Wenn Sie SAMLProvider API-Operationen verwenden [update-saml-provider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-saml-provider.html)oder [aktualisieren](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html), um private SAML-Verschlüsselungsschlüsseldateien zu rotieren, können Sie Ihrer Anfrage nur einen privaten Schlüssel hinzufügen oder entfernen. Wenn Sie einen privaten Schlüssel hinzufügen, während Sie einen privaten Schlüssel entfernen, schlägt die Operation fehl. Weitere Informationen zum Rotieren von privaten Schlüsseln finden Sie unter [Verwaltung von SAML-Verschlüsselungsschlüssel](id_roles_providers_create_saml.md#id_federation_manage-saml-encryption).
## Fehler: Der angegebene Anbieter ist nicht vorhanden.
Dieser Fehler kann auftreten, wenn der Name des Anbieters in der SAML-Assertion nicht mit dem Namen des Anbieters in IAM übereinstimmt. Weitere Informationen zum Anzeigen des Anbieternamens finden Sie unter [Erstellen eines SAML-Identitätsanbieters in IAM](id_roles_providers_create_saml.md).
## Fehler: Angefordert DurationSeconds überschreitet den für diese Rolle MaxSessionDuration festgelegten Wert.
Dieser Fehler kann auftreten, wenn Sie eine Rolle über die API AWS CLI oder übernehmen.
Wenn Sie die [assume-role-with-saml](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html)CLI- oder [AssumeRoleWithSAML-API-Operationen](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) verwenden, um eine Rolle anzunehmen, können Sie einen Wert für den `DurationSeconds` Parameter angeben. Sie können einen Wert von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle angeben. Wenn Sie einen Wert höher als diese Einstellung angeben, schlägt die Operation fehl. Wenn Sie beispielsweise eine Sitzungsdauer von zwölf Stunden angeben, Ihr Administrator aber die maximale Sitzungsdauer auf sechs Stunden festgelegt hat, schlägt die Operation fehl. Weitere Informationen dazu, wie Sie den maximalen Wert für Ihre Rolle anzeigen, finden Sie unter [Aktualisieren der maximalen Sitzungsdauer für eine Rolle](id_roles_update-role-settings.md#id_roles_update-session-duration).
## Fehler: Die Begrenzung auf 2 private Schlüssel ist erreicht.
Dieser Fehler kann auftreten, wenn Sie versuchen, Ihrem Identitätsanbieter einen privaten Schlüssel hinzuzufügen.
Sie können für jeden Identitätsanbieter bis zu zwei private Schlüssel speichern. Wenn Sie SAMLProvider API-Operationen verwenden [update-saml-provider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-saml-provider.html)oder [aktualisieren](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html), um einen dritten privaten Schlüssel hinzuzufügen, schlägt der Vorgang fehl.
Entfernen Sie abgelaufene private Schlüssel, bevor Sie einen neuen privaten Schlüssel hinzufügen. Weitere Informationen zum Rotieren von privaten Schlüsseln finden Sie unter [Verwaltung von SAML-Verschlüsselungsschlüssel](id_roles_providers_create_saml.md#id_federation_manage-saml-encryption).
## Fehler: Die Antwort enthält nicht die erforderliche Zielgruppe.
Dieser Fehler kann auftreten, wenn in der SAML-Konfiguration eine Diskrepanz zwischen der Zielgruppen-URL und dem Identitätsanbieter besteht. Stellen Sie sicher, dass die ID für die vertrauende Seite Ihres Identitätsanbieters (IDP) exakt mit der Zielgruppen-URL (Entitäts-ID) übereinstimmt, die in der SAML-Konfiguration angegeben ist.