Risolvere i problemi IAM - AWS Identity and Access Management
Non riesco ad accedere al mio account AWSChiavi di accesso smarriteVariabili della policy non funzionantiLe modifiche che apporto non sono sempre immediatamente visibiliNon sono autorizzato a eseguire: iam: DeleteVirtual MFADeviceCome posso creare IAM utenti in modo sicuro?Risorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risolvere i problemi IAM

Usa le informazioni qui per aiutarti a diagnosticare e risolvere i problemi più comuni quando lavori con AWS Identity and Access Management (IAM).

Problemi

Non riesco ad accedere al mio account AWS

Verifica di disporre delle credenziali corrette e di utilizzare il metodo corretto per accedere. Per ulteriori informazioni, consulta Risoluzione dei problemi di accesso nella Guida per l'utente‏ di Accedi ad AWS .

Chiavi di accesso smarrite

Le chiavi di accesso sono costituite da due parti:

  • Identificatore della chiave di accesso: Questo non è un segreto e può essere visualizzato nella IAM console ovunque siano elencate le chiavi di accesso, ad esempio nella pagina di riepilogo dell'utente.

  • Chiave di accesso segreta: questa informazione viene fornita quando si crea inizialmente la coppia di chiavi di accesso. Proprio come una password, non può essere recuperata in seguito. Se la chiave di accesso segreta viene persa, è necessario creare una nuova coppia di chiavi di accesso. Se si disponi già del numero massimo di chiavi di accesso, è necessario eliminare una coppia esistente prima di crearne un'altra.

Se perdi la chiave di accesso segreta, è necessario eliminarla e crearne una nuova. Per ulteriori istruzioni, consultaAggiorna le chiavi di accesso.

Variabili della policy non funzionanti

Se le variabili di policy non funzionano, si è verificato uno dei seguenti errori:

La data è errata nell'elemento della policy Version.

Verificare che tutte le policy che includono variabili includano il seguente numero di versione nella policy: "Version": "2012-10-17". Senza il numero di versione corretto, le variabili non vengono sostituite durante la valutazione. Al contrario, le variabili vengono valutate letteralmente. Le politiche che non includono variabili funzionano ancora quando si include il numero di versione più recente.

Un elemento di policy Version è diverso da una versione di policy. L'elemento di policy Version viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Una versione della politica viene creata quando si modifica una politica gestita dal cliente inIAM. La policy modificata non viene sovrascritta a quella precedente. IAMCrea invece una nuova versione della politica gestita. Per ulteriori informazioni sull'elemento di policy Version, consultare IAMJSONelementi politici: Version. Per ulteriori informazioni sulle versioni di policy, consultare Funzione Versioni multiple di policy IAM.

I caratteri variabili sono scritti con lettere maiuscole sbagliate.

Verificare che le variabili della policy applichino la distinzione maiuscole/minuscole corretta. Per informazioni dettagliate, consultare Elementi delle policy IAM: variabili e tag.

Le modifiche che apporto non sono sempre immediatamente visibili

Come servizio a cui si accede tramite computer nei data center di tutto il mondo, IAM utilizza un modello di calcolo distribuito chiamato «eventuale coerenza». Qualsiasi modifica apportata in IAM (o ad altri AWS servizi), inclusi i tag di controllo degli accessi (ABAC) basati sugli attributi, richiede tempo prima che diventi visibile da tutti i possibili endpoint. Il tempo necessario per inviare i dati da server a server, da zona di replica a zona di replica e da regione a regione comporta un certo ritardo. IAMutilizza anche la memorizzazione nella cache per migliorare le prestazioni, ma in alcuni casi ciò può comportare un aumento di tempo. in quanto la modifica potrebbe risultare visibile solo dopo il timeout dei dati memorizzati nella cache.

È necessario progettare le applicazioni globali in modo da considerare questi potenziali ritardi e assicurarsi che funzionino come previsto, anche quando una modifica apportata in una posizione non è immediatamente visibile in un'altra. Tali modifiche includono la creazione o l'aggiornamento di utenti, gruppi, ruoli, o policy. Si consiglia di non includere tali IAM modifiche nei percorsi di codice critici e ad alta disponibilità dell'applicazione. Invece, IAM apportate le modifiche in una routine di inizializzazione o configurazione separata che eseguite meno frequentemente. Inoltre, assicurarsi di verificare che le modifiche siano state propagate prima che i flussi di lavoro di produzione dipendano da esse.

Per ulteriori informazioni su come alcuni altri AWS servizi ne risentono, consulta le seguenti risorse:

Non sono autorizzato a eseguire: iam: DeleteVirtual MFADevice

Potresti ricevere il seguente errore quando tenti di assegnare o rimuovere un MFA dispositivo virtuale per te o per altri:

User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

Ciò potrebbe accadere se qualcuno in precedenza avesse iniziato ad assegnare un MFA dispositivo virtuale a un utente nella IAM console e poi avesse annullato il processo. Questo crea un MFA dispositivo virtuale per l'utente IAM ma non lo assegna mai all'utente. Elimina il MFA dispositivo virtuale esistente prima di creare un nuovo MFA dispositivo virtuale con lo stesso nome di dispositivo.

Per risolvere questo problema, un amministratore non dovrebbe modificare le policy di autorizzazioni. L'amministratore deve invece utilizzare AWS CLI o AWS API per eliminare il MFA dispositivo virtuale esistente ma non assegnato.

Per eliminare un dispositivo virtuale esistente ma non assegnato MFA

  1. Visualizza i MFA dispositivi virtuali nel tuo account.

  2. Nella risposta, individua il ARN MFA dispositivo virtuale dell'utente che stai cercando di correggere.

  3. Elimina il MFA dispositivo virtuale.

Come posso creare IAM utenti in modo sicuro?

Se hai dipendenti che richiedono l'accesso a AWS, puoi scegliere di creare IAM utenti o utilizzare IAM Identity Center per l'autenticazione. Se lo utilizziIAM, ti AWS consiglia di creare un IAM utente e di comunicare in modo sicuro le credenziali al dipendente. Se non ci si trova fisicamente accanto al dipendente, si consiglia di utilizzare un flusso di lavoro sicuro per comunicare le credenziali ai dipendenti.

Utilizza il seguente flusso di lavoro sicuro per creare un nuovo utente in: IAM

  1. Crea un nuovo utente utilizzando la AWS Management Console. Scegli di concedere AWS Management Console l'accesso con una password generata. Se necessario, seleziona la casella di controllo accanto a L'utente deve creare una nuova password all'accesso successivo. Non aggiungere una policy di autorizzazione all'utente fino a quando non ha cambiato la password.

  2. Dopo aver aggiunto l'utente, copia l'accessoURL, il nome utente e la password del nuovo utente. Per visualizzare la password, scegli Mostra.

  3. Invia la password al tuo dipendente utilizzando un metodo di comunicazione sicuro della tua azienda, ad esempio e-mail, chat o un sistema di ticket. Separatamente, fornisci agli utenti il link alla console IAM utente e il loro nome utente. Chiedi al dipendente di confermare che riesce ad accedere correttamente prima di concedergli le autorizzazioni.

  4. Dopo che il dipendente ha confermato, aggiungi le autorizzazioni necessarie. Come procedura consigliata in materia di sicurezza, aggiungi una policy che richieda all'utente di MFA autenticarsi utilizzando per gestire le proprie credenziali. Per un esempio di policy, consulta AWS: consente agli utenti IAM autenticati tramite MFA di gestire le proprie credenziali nella pagina Credenziali di sicurezza.

Risorse aggiuntive

Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con. AWS