Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Fehlerbehebung bei allgemeinen IAM-Problemen
Nutzen Sie die hier aufgeführten Informationen, um häufige Probleme bei der Arbeit mit AWS Identity and Access Management (IAM) zu diagnostizieren und zu beheben.
Problembereiche
- Ich kann mich nicht in meinem AWS -Konto anmelden
- Ich habe meine Zugriffsschlüssel verloren
- Die Richtlinienvariablen funktionieren nicht
- Änderungen, die ich vornehme, sind nicht immer direkt sichtbar
- Ich bin nicht berechtigt, Folgendes auszuführen: iam: MFADevice DeleteVirtual
- Wie erstelle ich sicher IAM-Benutzer?
- Weitere Ressourcen
Ich kann mich nicht in meinem AWS -Konto anmelden
Stellen Sie sicher, dass Sie über die richtigen Anmeldeinformationen verfügen und dass Sie die richtige Methode verwenden, um sich anzumelden. Weitere Informationen finden Sie unter Behebung von Anmeldefehlern im AWS-Anmeldung -Benutzerhandbuch.
Ich habe meine Zugriffsschlüssel verloren
Die Zugriffsschlüssel bestehen aus zwei Teilen:
-
Die Zugriffsschlüssel-ID. Diese ID ist nicht geheim und kann in der IAM-Konsole dort eingesehen werden, wo Zugriffsschlüssel aufgelistet sind, wie z. B. auf der Übersichtsseite des Benutzers.
-
Der geheime Zugriffsschlüssel. Der geheime Zugriffsschlüssel wird bereitgestellt, wenn Sie zum ersten Mal das Zugriffsschlüsselpaar erstellen. Wie bei einem Passwort kann der Schlüssel später nicht mehr abgerufen werden. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren, müssen Sie ein neues Zugriffsschlüsselpaar erstellen. Wenn Sie bereits über die maximale Anzahl an Zugriffsschlüsseln verfügen, müssen Sie ein vorhandenes Schlüsselpaar löschen, bevor Sie ein anderes erstellen können.
Weitere Informationen finden Sie unter Zurücksetzen verlorener oder vergessener Passwörter oder Zugangsschlüssel für AWS.
Die Richtlinienvariablen funktionieren nicht
-
Überprüfen Sie, ob für alle Richtlinien, die Variablen enthalten, die folgende Versionsnummer in der Richtlinie angegeben ist:
"Version": "2012-10-17"
. Ohne die korrekte Versionsnummer werden die Variablen während der Auswertung nicht ersetzt. Stattdessen werden die Variablen wörtlich ausgewertet. Alle Richtlinien, die keine Variablen enthalten, bleiben funktionsfähig, wenn Sie die neuste Versionsnummer angeben.Das Richtlinienelement
Version
unterscheidet sich von einer Richtlinienversion. Das RichtlinienelementVersion
wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Andererseits wird eine Richtlinienversion erstellt, wenn Sie in IAM eine benutzerdefinierte, verwaltete Richtlinie bearbeiten. Die vorhandene Richtlinie wird von der geänderten Richtlinie nicht überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie. Weitere Informationen zum RichtlinienelementVersion
finden Sie unter IAM-JSON-Richtlinienelemente: Version. Weitere Informationen zu den Richtlinienversionen finden Sie unter Versioning von IAM-Richtlinien. -
Überprüfen Sie, ob die Groß- und Kleinschreibung der Richtlinienvariablen richtig ist. Details hierzu finden Sie unter IAM-Richtlinienelemente: Variablen und Tags.
Änderungen, die ich vornehme, sind nicht immer direkt sichtbar
Als Service, auf den Computer in weltweit angesiedelten Rechenzentren zugreifen, nutzt IAM ein verteiltes Computing-Modell namens Eventual consistency
Sie müssen Ihre globalen Anwendungen unter Berücksichtigung dieser potenziellen Verzögerungen konzipieren. Stellen Sie sicher, dass sie wie erwartet funktionieren, und zwar auch dann, wenn eine Änderung an einem Speicherort nicht sofort an einem anderen sichtbar ist. Solche Änderungen umfassen das Erstellen oder Aktualisieren von Benutzern, Gruppen, Rollen und Richtlinien. Wir empfehlen, dass Sie in den kritischen, hochverfügbaren Code-Pfaden Ihrer Anwendung keine solchen IAM-Änderungen vornehmen. Nehmen Sie IAM-Änderungen stattdessen in einer separaten Initialisierungs- oder Einrichtungsroutine vor, die seltener ausgeführt wird. Vergewissern Sie sich auch, dass die Änderungen weitergegeben wurden, bevor die Produktionsarbeitsabläufe davon abhängen.
Weitere Informationen darüber, wie einige andere AWS Dienste davon betroffen sind, finden Sie in den folgenden Ressourcen:
-
Amazon DynamoDB: Wie lautet das Konsistenzmodell von Amazon DynamoDB?
im DynamoDB – Häufig gestellte Fragen, und Lesekonsistenz im Entwicklerleitfaden für Amazon DynamoDB. -
Amazon EC2: EC2-Eventual Consistency im Amazon EC2 API-Referenz.
-
Amazon EMR: Sicherstellung der Konsistenz bei der Verwendung von Amazon S3 und Amazon Elastic MapReduce für ETL-Workflows
im AWS Big Data-Blog -
Amazon Redshift: Verwalten der Datenkonsistenz im Amazon Redshift Developerhandbuch
-
Amazon S3: Amazon-S3-Datenkonsistenzmodell im Benutzerhandbuch für Amazon Simple Storage Service
Ich bin nicht berechtigt, Folgendes auszuführen: iam: MFADevice DeleteVirtual
Möglicherweise erhalten Sie die folgende Fehlermeldung, wenn Sie versuchen, ein virtuelles MFA-Gerät für sich selbst oder andere zuzuweisen oder zu entfernen:
User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny
Dies kann passieren, wenn jemand zuvor damit begonnen hat, ein virtuelles MFA-Gerät zu einem Benutzer in der IAM-Konsole zuzuweisen und den Vorgang abgebrochen hat. Dadurch wird ein MFA-Gerät für den Benutzer in IAM erstellt, aber diesem niemals zugeordnet. Sie müssen das vorhandene virtuelle MFA-Gerät löschen, bevor Sie ein neues virtuelles MFA-Gerät mit dem gleichen Gerätenamen erstellen können.
Zur Behebung des Problems sollte ein Administrator keine Richtlinienberechtigungen bearbeiten. Stattdessen muss der Administrator die AWS API AWS CLI oder verwenden, um das vorhandene, aber nicht zugewiesene virtuelle MFA-Gerät zu löschen.
So löschen Sie ein vorhandenes, aber nicht zugeordnetes virtuelles MFA-Gerät
-
Zeigen Sie die virtuellen MFA-Geräte in Ihrem Konto an.
-
AWS CLI:
aws iam list-virtual-mfa-devices
-
AWS API:
ListVirtualMFADevices
-
-
Suchen Sie in der Antwort den ARN des virtuellen MFA-Geräts für den Benutzer, für den Sie eine Korrektur vornehmen möchten.
-
Löschen Sie das virtuelle MFA-Gerät.
-
AWS CLI:
aws iam delete-virtual-mfa-device
-
AWS API:
DeleteVirtualMFADevice
-
Wie erstelle ich sicher IAM-Benutzer?
Wenn Sie Mitarbeiter haben, auf die Sie Zugriff benötigen AWS, können Sie IAM-Benutzer erstellen oder IAM Identity Center für die Authentifizierung verwenden. Wenn Sie IAM verwenden, AWS empfiehlt Ihnen, einen IAM-Benutzer zu erstellen und die Anmeldeinformationen dem Mitarbeiter auf sichere Weise mitzuteilen. Wenn Sie sich nicht physisch neben Ihrem Mitarbeiter befinden, verwenden Sie einen sicheren Workflow, um den Mitarbeitern Anmeldeinformationen zu übermitteln.
Verwenden Sie den folgenden Workflow, um sicher einen neuen Benutzer in IAM zu erstellen:
-
Erstellen Sie einen neuen Benutzer mit der AWS Management Console. Wählen Sie, ob Sie AWS Management Console den Zugriff mit einem automatisch generierten Passwort gewähren möchten. Aktivieren Sie ggf. das Kontrollkästchen Benutzer müssen bei der nächsten Anmeldung ein neues Passwort erstellen. Fügen Sie dem Benutzer erst dann eine Berechtigungsrichtlinie hinzu, nachdem er sein Passwort geändert hat.
-
Nachdem der Benutzer hinzugefügt wurde, kopieren Sie die Anmelde-URL, den Benutzernamen und das Passwort für den neuen Benutzer. Um das Passwort anzuzeigen, wählen Sie Anzeigen.
-
Senden Sie das Passwort an Ihren Mitarbeiter mit einer sicheren Kommunikationsmethode in Ihrem Unternehmen, wie E-Mail, Chat oder einem Ticketsystem. Geben Sie Ihren Benutzern separat den Link zur IAM-Benutzerkonsole und ihren Benutzernamen an. Sagen Sie dem Mitarbeiter, dass er bestätigen soll, dass er sich erfolgreich anmelden kann, bevor Sie ihm Berechtigungen erteilen.
-
Nachdem der Mitarbeiter dies bestätigt hat, fügen Sie die erforderlichen Berechtigungen hinzu. Fügen Sie als bewährte Methode für die Sicherheit eine Richtlinie hinzu, die erfordert, dass sich der Benutzer mit MFA authentifiziert, um seine Anmeldeinformationen zu verwalten. Eine Beispielrichtlinie finden Sie unter AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern, ihre eigenen Anmeldeinformationen auf der Seite Sicherheitsanmeldedaten zu verwalten.
Weitere Ressourcen
Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit AWS helfen.
-
AWS CloudTrail Benutzerhandbuch — Wird verwendet AWS CloudTrail , um den Verlauf von API-Aufrufen nachzuverfolgen AWS und diese Informationen in Protokolldateien zu speichern. Auf diese Weise können Sie einfacher bestimmen, welche Benutzer und Konten auf Ressourcen in Ihrem Konto zugegriffen haben, wann die Aufrufe erfolgten, welche Aktionen angefordert wurden, und vieles mehr. Weitere Informationen finden Sie unter Protokollierung von IAM- und AWS STS API-Aufrufen mit AWS CloudTrail.
-
AWS Knowledge Center
— Hier finden Sie häufig gestellte Fragen und Links zu anderen Ressourcen, die Ihnen bei der Behebung von Problemen helfen. -
AWS Support Center
— Holen Sie sich technischen Support. -
AWS Premium Support Center
— Holen Sie sich erstklassigen technischen Support.