Pecahkan masalah IAM - AWS Identity and Access Management
Saya tidak dapat masuk ke akun AWS sayaSaya kehilangan access key sayaVariabel kebijakan tidak berfungsiPerubahan yang saya buat tidak selalu langsung terlihatSaya tidak berwenang untuk melakukan: iam: DeleteVirtual MFADeviceBagaimana cara membuat pengguna IAM dengan aman?Sumber daya tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pecahkan masalah IAM

Gunakan informasi di sini untuk membantu Anda mendiagnosis dan memperbaiki masalah umum saat Anda bekerja dengan AWS Identity and Access Management (IAM).

Masalah

Saya tidak dapat masuk ke akun AWS saya

Verifikasi bahwa Anda memiliki kredensial yang benar dan bahwa Anda menggunakan metode yang benar untuk masuk. Untuk informasi selengkapnya, lihat Memecahkan masalah login di Panduan Pengguna.AWS Sign-In

Saya kehilangan access key saya

Access key terdiri atas dua bagian:

  • Pengidentifikasi access key. Ini bukan rahasia, dan dapat dilihat di konsol IAM di mana pun access key dicantumkan, seperti di halaman ringkasan pengguna.

  • Secret access key. Ini tersedia saat Anda membuat pasangan access key di awal. Seperti kata sandi, kunci ini tidak dapat diambil lagi di lain waktu. Jika Anda kehilangan secret access key, Anda harus membuat pasangan access key baru. Jika Anda sudah memiliki jumlah maksimal access key, Anda harus menghapus pasangan yang ada sebelum Anda dapat membuat yang lain.

Jika Anda kehilangan secret access key, Anda harus menghapus access key dan membuat access key baru. Untuk instruksi lebih lanjut, lihatPerbarui kunci akses.

Variabel kebijakan tidak berfungsi

Jika variabel kebijakan Anda tidak berfungsi, salah satu kesalahan berikut telah terjadi:

Tanggal salah dalam elemen kebijakan Versi.

Verifikasi bahwa semua kebijakan yang mencakup variabel menyertakan nomor versi berikut dalam kebijakan: "Version": "2012-10-17". Tanpa nomor versi yang benar, variabel tidak diganti selama evaluasi. Alih-alih, variabel dievaluasi secara literal. Kebijakan yang tidak menyertakan variabel masih berfungsi saat Anda menyertakan nomor versi terbaru.

Elemen kebijakan Version berbeda dari versi kebijakan. Elemen kebijakan Version digunakan dalam kebijakan dan menentukan versi bahasa kebijakan. Versi kebijakan dibuat saat Anda mengubah kebijakan yang dikelola pelanggan diIAM. Perubahan kebijakan tidak mengesampingkan kebijakan yang ada. Sebagai gantinya, IAM membuat versi baru dari kebijakan terkelola. Untuk mempelajari selengkapnya tentang elemen kebijakan Version, lihat IAMJSONelemen kebijakan: Version. Untuk mempelajari selengkapnya tentang versi kebijakan, lihat Kebijakan IAM versioning.

Karakter variabel berada dalam kasus huruf yang salah.

Verifikasi bahwa variabel kebijakan Anda berada di kasus yang tepat. Untuk detailnya, lihat Elemen kebijakan IAM: Variabel dan tanda.

Perubahan yang saya buat tidak selalu langsung terlihat

Sebagai layanan yang diakses melalui komputer di pusat data di seluruh dunia, IAM menggunakan model komputasi terdistribusi yang disebut eventual consistency. Setiap perubahan yang Anda buat di IAM (atau AWS layanan lain), termasuk tag access control (ABAC) berbasis atribut, membutuhkan waktu untuk terlihat dari semua titik akhir yang mungkin. Beberapa hasil penundaan dari waktu yang diperlukan untuk mengirim data dari server ke server, zona replikasi ke zona replikasi, dan Wilayah ke Wilayah. IAMjuga menggunakan caching untuk meningkatkan kinerja, tetapi dalam beberapa kasus ini dapat menambah waktu. Perubahan mungkin tidak terlihat sampai waktu data yang disimpan di-cache sebelumnya habis.

Anda harus merancang aplikasi global untuk memperhitungkan kemungkinan penundaan ini. Pastikan aplikasi bekerja sesuai harapan, bahkan ketika perubahan yang dilakukan di satu lokasi tidak secara langsung terlihat di lokasi lain. Perubahan tersebut mencakup membuat atau memperbarui pengguna, kelompok, peran, atau kebijakan. Kami menyarankan agar Anda tidak menyertakan IAM perubahan tersebut dalam jalur kode ketersediaan tinggi yang kritis dari aplikasi Anda. Sebaliknya, buat perubahan IAM dalam inisialisasi terpisah atau rutinitas pengaturan yang lebih jarang Anda lakukan. Selain itu, pastikan untuk memverifikasi bahwa perubahan telah dibuat merata sebelum alur kerja produksi bergantung padanya.

Untuk informasi lebih lanjut tentang bagaimana beberapa AWS layanan lain dipengaruhi oleh ini, lihat sumber daya berikut:

Saya tidak berwenang untuk melakukan: iam: DeleteVirtual MFADevice

Anda mungkin menerima kesalahan berikut saat mencoba menetapkan atau menghapus MFA perangkat virtual untuk diri sendiri atau orang lain:

User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

Ini bisa terjadi jika seseorang sebelumnya mulai menetapkan MFA perangkat virtual ke pengguna di IAM konsol dan kemudian membatalkan prosesnya. Ini menciptakan MFA perangkat virtual untuk pengguna IAM tetapi tidak pernah menetapkannya kepada pengguna. Hapus MFA perangkat virtual yang ada sebelum Anda membuat MFA perangkat virtual baru dengan nama perangkat yang sama.

Untuk mengatasi masalah ini, administrator seharusnya tidak mengedit izin kebijakan. Sebagai gantinya, administrator harus menggunakan AWS CLI atau AWS API untuk menghapus MFA perangkat virtual yang ada tetapi tidak ditetapkan.

Untuk menghapus perangkat virtual MFA yang ada tetapi belum ditetapkan

  1. Lihat MFA perangkat virtual di akun Anda.

  2. Sebagai tanggapan, cari MFA perangkat virtual untuk pengguna yang Anda coba perbaiki. ARN

  3. Hapus MFA perangkat virtual.

Bagaimana cara membuat pengguna IAM dengan aman?

Jika Anda memiliki karyawan yang memerlukan akses AWS, Anda dapat memilih untuk membuat IAM pengguna atau menggunakan Pusat IAM Identitas untuk otentikasi. Jika Anda menggunakanIAM, AWS merekomendasikan agar Anda membuat IAM pengguna dan mengomunikasikan kredensialnya dengan aman kepada karyawan. Jika Anda tidak berada di sebelah karyawan Anda secara fisik, gunakan alur kerja yang aman untuk memberi tahu kredensialnya kepada karyawan.

Gunakan alur kerja aman berikut untuk membuat pengguna baru diIAM:

  1. Buat pengguna baru menggunakan AWS Management Console. Pilih untuk memberikan AWS Management Console akses dengan kata sandi yang dihasilkan. Jika perlu, pilih kotak centang Users must create a new password at next sign-in(Pengguna harus membuat kata sandi baru saat masuk berikutnya). Jangan tambahkan kebijakan izin ke pengguna sampai setelah mereka mengubah sandi mereka.

  2. Setelah pengguna ditambahkan, salin login, nama penggunaURL, dan kata sandi untuk pengguna baru. Untuk melihat kata sandi, pilih Show (Tampilkan).

  3. Kirim kata sandi ke karyawan Anda menggunakan metode komunikasi yang aman di perusahaan Anda, seperti email, obrolan, atau sistem tiket. Secara terpisah, beri pengguna Anda tautan tautan konsol pengguna IAM dan nama pengguna mereka. Beri tahu karyawan untuk mengonfirmasi bahwa mereka dapat berhasil masuk sebelum Anda memberikan izin kepada karyawan tersebut.

  4. Setelah karyawan mengonfirmasi, tambahkan izin yang mereka perlukan. Sebagai praktik keamanan terbaik, tambahkan kebijakan yang mengharuskan pengguna mengautentikasi penggunaan MFA untuk mengelola kredensialnya. Untuk contoh kebijakan, lihat AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan.

Sumber daya tambahan

Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengannya. AWS