Fehlerbehebung bei allgemeinen IAM-Problemen - AWS Identitäts- und Zugriffsverwaltung
Ich kann mich nicht in meinem AWS -Konto anmeldenIch habe meine Zugriffsschlüssel verlorenDie Richtlinienvariablen funktionieren nichtÄnderungen, die ich vornehme, sind nicht immer direkt sichtbarIch bin nicht berechtigt, Folgendes auszuführen: iam: MFADevice DeleteVirtualWie erstelle ich sicher IAM-Benutzer?Weitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung bei allgemeinen IAM-Problemen

Nutzen Sie die hier aufgeführten Informationen, um häufige Probleme bei der Arbeit mit  AWS Identity and Access Management  (IAM) zu diagnostizieren und zu beheben.

Ich kann mich nicht in meinem AWS -Konto anmelden

Stellen Sie sicher, dass Sie über die richtigen Anmeldeinformationen verfügen und dass Sie die richtige Methode verwenden, um sich anzumelden. Weitere Informationen finden Sie unter Behebung von Anmeldefehlern im AWS-Anmeldung -Benutzerhandbuch.

Ich habe meine Zugriffsschlüssel verloren

Die Zugriffsschlüssel bestehen aus zwei Teilen:

  • Die Zugriffsschlüssel-ID. Diese ID ist nicht geheim und kann in der IAM-Konsole dort eingesehen werden, wo Zugriffsschlüssel aufgelistet sind, wie z. B. auf der Übersichtsseite des Benutzers.

  • Der geheime Zugriffsschlüssel. Der geheime Zugriffsschlüssel wird bereitgestellt, wenn Sie zum ersten Mal das Zugriffsschlüsselpaar erstellen. Wie bei einem Passwort kann der Schlüssel später nicht mehr abgerufen werden. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren, müssen Sie ein neues Zugriffsschlüsselpaar erstellen. Wenn Sie bereits über die maximale Anzahl an Zugriffsschlüsseln verfügen, müssen Sie ein vorhandenes Schlüsselpaar löschen, bevor Sie ein anderes erstellen können.

Weitere Informationen finden Sie unter Zurücksetzen verlorener oder vergessener Passwörter oder Zugangsschlüssel für AWS.

Die Richtlinienvariablen funktionieren nicht

  • Überprüfen Sie, ob für alle Richtlinien, die Variablen enthalten, die folgende Versionsnummer in der Richtlinie angegeben ist: "Version": "2012-10-17". Ohne die korrekte Versionsnummer werden die Variablen während der Auswertung nicht ersetzt. Stattdessen werden die Variablen wörtlich ausgewertet. Alle Richtlinien, die keine Variablen enthalten, bleiben funktionsfähig, wenn Sie die neuste Versionsnummer angeben.

    Das Richtlinienelement Version unterscheidet sich von einer Richtlinienversion. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Andererseits wird eine Richtlinienversion erstellt, wenn Sie in IAM eine benutzerdefinierte, verwaltete Richtlinie bearbeiten. Die vorhandene Richtlinie wird von der geänderten Richtlinie nicht überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie. Weitere Informationen zum Richtlinienelement Version finden Sie unter IAM-JSON-Richtlinienelemente: Version. Weitere Informationen zu den Richtlinienversionen finden Sie unter Versioning von IAM-Richtlinien.

  • Überprüfen Sie, ob die Groß- und Kleinschreibung der Richtlinienvariablen richtig ist. Details hierzu finden Sie unter IAM-Richtlinienelemente: Variablen und Tags.

Änderungen, die ich vornehme, sind nicht immer direkt sichtbar

Als Service, auf den Computer in weltweit angesiedelten Rechenzentren zugreifen, nutzt IAM ein verteiltes Computing-Modell namens Eventual consistency. Jede Änderung, die Sie an IAM (oder anderen AWS Diensten) vornehmen, einschließlich der in der attributebasierten Zugriffskontrolle (ABAC) verwendeten Tags, dauert einige Zeit, bis sie von allen möglichen Endpunkten aus sichtbar wird. Die Verzögerung ergibt sich teilweise aus der Zeit, die erforderlich ist, um die Daten von Server zu Server, von Replikationszone zu Replikationszone und von einer Region der Welt in eine andere zu senden. IAM; verwendet darüber hinaus Zwischenspeicherungen zur Verbesserung der Leistung, doch in einigen Fällen kann dies Zeit hinzufügen. Die Änderung ist möglicherweise erst sichtbar, wenn die Zeit für die vorher zwischengespeicherten Daten abgelaufen ist.

Sie müssen Ihre globalen Anwendungen unter Berücksichtigung dieser potenziellen Verzögerungen konzipieren. Stellen Sie sicher, dass sie wie erwartet funktionieren, und zwar auch dann, wenn eine Änderung an einem Speicherort nicht sofort an einem anderen sichtbar ist. Solche Änderungen umfassen das Erstellen oder Aktualisieren von Benutzern, Gruppen, Rollen und Richtlinien. Wir empfehlen, dass Sie in den kritischen, hochverfügbaren Code-Pfaden Ihrer Anwendung keine solchen IAM-Änderungen vornehmen. Nehmen Sie IAM-Änderungen stattdessen in einer separaten Initialisierungs- oder Einrichtungsroutine vor, die seltener ausgeführt wird. Vergewissern Sie sich auch, dass die Änderungen weitergegeben wurden, bevor die Produktionsarbeitsabläufe davon abhängen.

Weitere Informationen darüber, wie einige andere AWS Dienste davon betroffen sind, finden Sie in den folgenden Ressourcen:

Ich bin nicht berechtigt, Folgendes auszuführen: iam: MFADevice DeleteVirtual

Möglicherweise erhalten Sie die folgende Fehlermeldung, wenn Sie versuchen, ein virtuelles MFA-Gerät für sich selbst oder andere zuzuweisen oder zu entfernen:

User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

Dies kann passieren, wenn jemand zuvor damit begonnen hat, ein virtuelles MFA-Gerät zu einem Benutzer in der IAM-Konsole zuzuweisen und den Vorgang abgebrochen hat. Dadurch wird ein MFA-Gerät für den Benutzer in IAM erstellt, aber diesem niemals zugeordnet. Sie müssen das vorhandene virtuelle MFA-Gerät löschen, bevor Sie ein neues virtuelles MFA-Gerät mit dem gleichen Gerätenamen erstellen können.

Zur Behebung des Problems sollte ein Administrator keine Richtlinienberechtigungen bearbeiten. Stattdessen muss der Administrator die AWS API AWS CLI oder verwenden, um das vorhandene, aber nicht zugewiesene virtuelle MFA-Gerät zu löschen.

So löschen Sie ein vorhandenes, aber nicht zugeordnetes virtuelles MFA-Gerät

  1. Zeigen Sie die virtuellen MFA-Geräte in Ihrem Konto an.

  2. Suchen Sie in der Antwort den ARN des virtuellen MFA-Geräts für den Benutzer, für den Sie eine Korrektur vornehmen möchten.

  3. Löschen Sie das virtuelle MFA-Gerät.

Wie erstelle ich sicher IAM-Benutzer?

Wenn Sie Mitarbeiter haben, auf die Sie Zugriff benötigen AWS, können Sie IAM-Benutzer erstellen oder IAM Identity Center für die Authentifizierung verwenden. Wenn Sie IAM verwenden, AWS empfiehlt Ihnen, einen IAM-Benutzer zu erstellen und die Anmeldeinformationen dem Mitarbeiter auf sichere Weise mitzuteilen. Wenn Sie sich nicht physisch neben Ihrem Mitarbeiter befinden, verwenden Sie einen sicheren Workflow, um den Mitarbeitern Anmeldeinformationen zu übermitteln.

Verwenden Sie den folgenden Workflow, um sicher einen neuen Benutzer in IAM zu erstellen:

  1. Erstellen Sie einen neuen Benutzer mit der AWS Management Console. Wählen Sie, ob Sie AWS Management Console den Zugriff mit einem automatisch generierten Passwort gewähren möchten. Aktivieren Sie ggf. das Kontrollkästchen Benutzer müssen bei der nächsten Anmeldung ein neues Passwort erstellen. Fügen Sie dem Benutzer erst dann eine Berechtigungsrichtlinie hinzu, nachdem er sein Passwort geändert hat.

  2. Nachdem der Benutzer hinzugefügt wurde, kopieren Sie die Anmelde-URL, den Benutzernamen und das Passwort für den neuen Benutzer. Um das Passwort anzuzeigen, wählen Sie Anzeigen.

  3. Senden Sie das Passwort an Ihren Mitarbeiter mit einer sicheren Kommunikationsmethode in Ihrem Unternehmen, wie E-Mail, Chat oder einem Ticketsystem. Geben Sie Ihren Benutzern separat den Link zur IAM-Benutzerkonsole und ihren Benutzernamen an. Sagen Sie dem Mitarbeiter, dass er bestätigen soll, dass er sich erfolgreich anmelden kann, bevor Sie ihm Berechtigungen erteilen.

  4. Nachdem der Mitarbeiter dies bestätigt hat, fügen Sie die erforderlichen Berechtigungen hinzu. Fügen Sie als bewährte Methode für die Sicherheit eine Richtlinie hinzu, die erfordert, dass sich der Benutzer mit MFA authentifiziert, um seine Anmeldeinformationen zu verwalten. Eine Beispielrichtlinie finden Sie unter AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern, ihre eigenen Anmeldeinformationen auf der Seite Sicherheitsanmeldedaten zu verwalten.

Weitere Ressourcen

Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit AWS helfen.