기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Identity Center 문제 해결

다음은 IAM Identity Center 콘솔을 설정하거나 사용하는 동안 발생할 수 있는 몇 가지 일반적인 문제를 해결하는 데 도움이 될 수 있습니다.

IAM Identity Center의 계정 인스턴스 생성 문제

IAM Identity Center의 계정 인스턴스를 생성할 때 몇 가지 제한이 적용될 수 있습니다. IAM Identity Center 콘솔 또는 지원되는 AWS 관리형 애플리케이션의 설정 환경을 통해 계정 인스턴스를 생성할 수 없는 경우 다음 사용 사례를 확인합니다.

IAM Identity Center에서 작동하도록 사전 구성된 클라우드 애플리케이션 목록을 보려고 하면 오류가 발생합니다.

이 오류는 다른 IAM Identity Center 를 허용sso:ListApplications하지만 허용하지 않는 정책이 있을 때 발생합니다APIs. 정책을 업데이트하여 이 오류를 해결하세요.

ListApplications 권한은 여러 을 승인합니다APIs.

중복 문제를 해결하기 위해 API 이제 내부 도 ListApplicationProviders 작업을 사용하도록 승인합니다. 퍼블릭을 허용ListApplicationsAPI하지만 내부 를 거부하려면 API정책에 ListApplicationProviders 작업을 거부하는 문이 포함되어야 합니다.

      "Statement": [
    {
         "Effect": "Deny",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": "sso:ListApplications",
        "Resource": "<instanceArn>" // (or "*" for all instances)
    }
]
    

내부 를 허용API하지만 ListApplications를 거부하려면 정책에서 만 허용해야 합니다ListApplicationProviders. 명시적으로 허용되지 않는 경우 이 거부ListApplicationsAPI됩니다.

      "Statement": [
    {
         "Effect": "Allow",
         "Action": "sso:ListApplicationProviders",
         "Resource": "*"
    }
]
    

정책이 업데이트되면 AWS Support 에 문의하여 이 사전 예방 조치를 제거합니다.

IAM Identity Center에서 생성한 어SAML설션의 내용에 관한 문제

IAM Identity Center는 AWS 액세스 포털에서 AWS 계정 및 SAML 애플리케이션에 액세스할 때 이러한 SAML어설션 내의 속성을 포함하여 IAM Identity Center에서 생성 및 전송한 어설션에 대한 웹 기반 디버그 환경을 제공합니다. IAM Identity Center가 생성하는 SAML어설션의 세부 정보를 보려면 다음 단계를 사용합니다.

특정 사용자가 외부 SCIM 공급자에서 IAM Identity Center로 동기화하지 못함

Identity Provider(IdP )가 SCIM 동기화를 사용하여 사용자를 IAM Identity Center에 프로비저닝하도록 구성된 경우 사용자 프로비저닝 프로세스 중에 동기화 실패가 발생할 수 있습니다. 이는 IdP의 사용자 구성이 IAM Identity Center 요구 사항과 호환되지 않음을 나타낼 수 있습니다. 이 경우 IAM Identity CenterSCIMAPIs는 문제의 근본 원인에 대한 통찰력을 제공하는 오류 메시지를 반환합니다. 이러한 오류 메시지는 IdP의 로그 또는 UI에서 찾을 수 있습니다. 또는 AWS CloudTrail 로그 에서 프로비저닝 실패에 대한 자세한 정보를 확인할 수 있습니다.

사용자 객체에 대한 필수, 선택적, 지원되지 않는 파라미터 및 작업의 사양을 포함하여 IAM Identity Center SCIM 구현에 대한 자세한 내용은 IAM 개발자 안내서의 Identity Center SCIM 구현 SCIM 개발자 안내서를 참조하세요.

다음은 이 오류의 몇 가지 일반적인 이유입니다.

사용자 이름이 UPN 형식일 때는 로그인할 수 없습니다.

사용자는 로그인 페이지에서 사용자 이름을 입력하는 데 사용하는 형식에 따라 AWS 액세스 포털에 로그인하지 못할 수 있습니다. 대부분의 경우 사용자는 일반 사용자 이름, 다운 수준 로그온 이름(DOMAIN\UserName) 또는 UPN 로그온 이름()을 사용하여 사용자 포털에 로그인할 수 있습니다UserName@Corp.Example.com. 이에 대한 예외는 IAM Identity Center가 로 활성화된 연결된 디렉터리를 사용하고 MFA 확인 모드가 컨텍스트 인식 또는 상시 작동 으로 설정된 경우입니다. 이 시나리오에서 사용자는 다운 수준 로그온 이름(DOMAIN\UserName)으로 로그인해야 합니다. 자세한 내용은 Identity Center 사용자를 위한 다중 인증 단원을 참조하십시오. Active Directory에 로그인하는 데 사용되는 사용자 이름 형식에 대한 일반적인 정보는 Microsoft 설명서 웹 사이트의 사용자 이름 형식을 참조하세요.

IAM 역할을 수정할 때 '보호된 역할에 대해 작업을 수행할 수 없음' 오류가 발생합니다.

계정에서 IAM 역할을 검토할 때 ‘AWSReservedSSO_’로 시작하는 역할 이름을 볼 수 있습니다. 이는 IAM Identity Center 서비스가 계정에서 생성한 역할이며 계정에 권한 세트를 할당하여 얻은 역할입니다. IAM 콘솔 내에서 이러한 역할을 수정하려고 하면 다음과 같은 오류가 발생합니다.

'Cannot perform the operation on the protected role 'AWSReservedSSO_RoleName_Here' - this role is only modifiable by AWS'

이러한 역할은 의 관리 계정에 있는 IAM Identity Center 관리자 콘솔에서만 수정할 수 있습니다 AWS Organizations. 수정한 후에는 당 변경 사항이 할당된 AWS 계정으로 푸시할 수 있습니다.

디렉터리 사용자는 비밀번호를 재설정할 수 없습니다.

AWS 액세스 포털에 로그인하는 동안 디렉터리 사용자가 암호를 잊으셨습니까? 옵션을 사용하여 암호를 재설정하는 경우 새 암호는 에 설명된 기본 암호 정책을 준수해야 합니다IAMIdentity Center에서 ID를 관리할 때의 암호 요구 사항.

사용자가 정책을 준수하는 암호를 입력한 다음 오류를 수신하는 경우 We couldn't update your password에서 오류를 AWS CloudTrail 기록했는지 확인합니다. 이 작업은 다음 필터를 CloudTrail 사용하여 이벤트 기록 콘솔에서 검색하여 수행할 수 있습니다.

"UpdatePassword"

다음과 같은 메시지가 표시되면 지원팀에 문의해야 할 수 있습니다.

"errorCode": "InternalFailure",
      "errorMessage": "An unknown error occurred“

이 문제의 또 다른 가능한 원인은 사용자 이름 값에 적용된 명명 규칙일 수 있습니다. 이름 지정 규칙은 '성givenName'과 같은 특정 패턴을 따라야 합니다. 그러나 일부 사용자 이름은 상당히 길거나 특수 문자가 포함될 수 있으며 이로 인해 API 통화에서 문자가 삭제되어 오류가 발생할 수 있습니다. 동일한 방식으로 테스트 사용자에게 비밀번호 재설정을 시도하여 이 경우가 맞는지 확인할 수 있습니다.

문제가 지속된다면 AWS 지원 센터에 문의하세요.

내 사용자는 권한 집합에서 참조할 수 있지만 할당된 계정이나 애플리케이션에 액세스할 수 없습니다.

이 문제는 외부 자격 증명 공급자를 통한 자동 프로비저닝에 도메인 간 자격 증명 관리 시스템(SCIM)을 사용하는 경우 발생할 수 있습니다. 특히 사용자 또는 사용자가 멤버였던 그룹이 삭제된 다음 자격 증명 공급자에서 동일한 사용자 이름(사용자의 경우) 또는 이름(그룹의 경우)을 사용하여 다시 생성되면 IAM Identity Center의 새 사용자 또는 그룹에 대한 새 고유 내부 식별자가 생성됩니다. 그러나 IAM Identity Center는 권한 데이터베이스에 이전 식별자에 대한 참조를 가지고 있으므로 사용자 또는 그룹의 이름이 UI에 계속 표시되지만 액세스는 실패합니다. UI가 참조하는 기본 사용자 또는 그룹 ID가 더 이상 존재하지 않기 때문입니다.

이 경우 AWS 계정 액세스를 복원하려면 원래 할당된 AWS 계정(s)에서 이전 사용자 또는 그룹에 대한 액세스를 제거한 다음 사용자 또는 그룹에 다시 액세스를 할당할 수 있습니다. 그러면 새 사용자 또는 그룹의 올바른 식별자로 권한 집합이 업데이트됩니다. 마찬가지로 애플리케이션 액세스를 복원하려면 해당 애플리케이션에 할당된 사용자 목록에서 사용자 또는 그룹의 액세스 권한을 제거한 다음 사용자 또는 그룹을 다시 추가하면 됩니다.

또한 해당 사용자 또는 그룹의 이름을 참조하는 SCIM 동기화 이벤트를 CloudTrail 로그에서 검색하여 가 실패를 AWS CloudTrail 기록했는지 확인할 수 있습니다.

애플리케이션 카탈로그에서 애플리케이션을 올바르게 구성할 수 없음

IAM Identity Center의 애플리케이션 카탈로그에서 애플리케이션을 추가한 경우 각 서비스 공급자가 자체 세부 설명서를 제공한다는 점에 유의하세요. IAM Identity Center 콘솔의 애플리케이션에 대한 구성 탭에서 이 정보에 액세스할 수 있습니다.

서비스 공급자의 애플리케이션과 IAM Identity Center 간의 신뢰 설정과 관련된 문제인 경우 지침 설명서에서 문제 해결 단계를 확인하세요.

사용자가 외부 ID 공급업체를 통해 로그인하려고 할 때 “예기치 않은 오류가 발생했습니다” 오류가 표시됩니다.

이 오류는 여러 가지 이유로 발생할 수 있지만 한 가지 일반적인 이유는 SAML 요청에 포함된 사용자 정보와 IAM Identity Center의 사용자 정보 간의 불일치입니다.

외부 IdP를 IAM 자격 증명 소스로 사용할 때 Identity Center 사용자가 성공적으로 로그인하려면 다음이 true여야 합니다.

이 오류는 ID 공급자에 구성된 Assertion Consumer Service(ACS) 엔드포인트가 IAM Identity Center 인스턴스에서 ACS URL 제공한 와 일치하지 않는 경우에도 발생할 수 있습니다. 이 두 값이 정확히 일치하는지 확인합니다.

또한 로 이동하여 이벤트 이름 을 AWS CloudTrail 필터링하여 외부 자격 증명 공급자 로그인 실패 문제를 더 해결할 수 있습니다ExternalIdPDirectoryLogin.

'액세스 제어 속성을 활성화하지 못했습니다' 오류

이 오류ABAC는 활성화하는 사용자에게 활성화에 필요한 iam:UpdateAssumeRolePolicy 권한이 없는 경우 발생할 수 있습니다액세스 제어를 위한 속성.

에 디바이스를 등록하려고 하면 '지원되지 않는 브라우저' 메시지가 표시됩니다. MFA

WebAuthn 는 현재 Google Chrome, Mozilla Firefox, Microsoft Edge 및 Apple Safari 웹 브라우저와 Windows 10 및 Android 플랫폼에서 지원됩니다. macOS 및 iOS 브라우저에서 플랫폼 인증자 지원과 같은 WebAuthn 지원의 일부 구성 요소는 다를 수 있습니다. 사용자가 지원되지 않는 브라우저 또는 플랫폼에 WebAuthn 디바이스를 등록하려고 하면 지원되지 않는 특정 옵션이 회색으로 표시되거나 지원되는 모든 메서드가 지원되지 않는다는 오류가 발생합니다. 이러한 경우 브라우저/플랫폼 지원에 대한 자세한 내용은 FIDO2: 웹 인증(WebAuthn)을 참조하세요. IAM Identity Center WebAuthn 의 에 대한 자세한 내용은 섹션을 참조하세요FIDO2 인증자.

Active Directory “도메인 사용자” 그룹이 IAM Identity Center에 제대로 동기화되지 않음

Active Directory 도메인 사용자 그룹은 AD 사용자 객체의 기본 "기본 그룹"입니다. Active Directory 기본 그룹 및 해당 멤버십은 IAM Identity Center에서 읽을 수 없습니다. IAM Identity Center 리소스 또는 애플리케이션에 대한 액세스를 할당할 때는 도메인 사용자 그룹(또는 기본 그룹으로 할당된 다른 그룹) 이외의 그룹을 사용하여 IAM Identity Center 자격 증명 스토어에 그룹 멤버십이 제대로 반영되도록 합니다.

잘못된 MFA 보안 인증 오류

이 오류는 사용자가 외부 IAM 자격 증명 공급자의 계정을 사용하여 Identity Center에 로그인하려고 할 때 발생할 수 있습니다(예: Okta 또는 Microsoft Entra ID)를 사용하여 IAM Identity Center에 계정을 완전히 프로비저닝합니다SCIM. 사용자 계정이 IAM Identity Center에 프로비저닝된 후 이 문제를 해결해야 합니다. 계정이 IAM Identity Center에 프로비저닝되었는지 확인합니다. 그렇지 않은 경우 외부 ID 제공업체의 프로비저닝 로그를 확인합니다.

인증 앱으로 등록하거나 로그인하려고 시도하면 '예상치 못한 오류가 발생했습니다'라는 메시지가 나타납니다.

IAM Identity Center에서 코드 기반 인증자 앱과 함께 사용하는 것과 같은 시간 기반 일회용 암호(TOTP) 시스템은 클라이언트와 서버 간의 시간 동기화에 의존합니다. 인증자 앱이 설치된 디바이스가 신뢰할 수 있는 시간 소스와 올바르게 동기화되었는지 확인하거나 NIST (https://www.time.gov/) 또는 기타 현지/지역에 상응하는 것과 같은 신뢰할 수 있는 소스와 일치하도록 디바이스의 시간을 수동으로 설정합니다.

IAM Identity Center에 로그인하려고 할 때 '당신이 아니고 우리 오류입니다'라는 메시지가 표시됩니다.

이 오류는 IAM Identity Center 인스턴스 또는 Identity Center가 ID 소스로 사용 중인 외부 자격 증명 공급자(IdP )IAM의 인스턴스에 설정 문제가 있음을 나타냅니다. 다음을 확인하는 것이 좋습니다.

내 사용자가 IAM Identity Center에서 이메일을 받지 않음

IAM Identity Center 서비스에서 보내는 모든 이메일은 주소 no-reply@signin.aws 또는 에서 전송됩니다no-reply@login.awsapps.com. 메일 시스템은 이러한 발신자 이메일 주소의 이메일을 수락하고 정크 또는 스팸으로 처리하지 않도록 구성해야 합니다.

오류: 관리 계정에 프로비저닝된 권한 세트에 delete/modify/remove/assign 액세스할 수 없습니다.

이 메시지는 위임된 관리 기능이 활성화되었으며 이전에 시도한 작업은 에서 관리 계정 권한이 있는 사람만 성공적으로 수행할 수 있음을 나타냅니다 AWS Organizations. 이 문제를 해결하려면 이러한 권한이 있는 사용자로 로그인하고 작업을 다시 수행하거나 올바른 권한이 있는 사람에게 이 작업을 할당합니다. 자세한 내용은 멤버 계정 등록 단원을 참조하십시오.

오류: 세션 토큰을 찾을 수 없거나 유효하지 않음

이 오류는 웹 브라우저 AWS Toolkit또는 와 같은 클라이언트가 서버 측에서 취소되거나 무효화된 세션을 사용 AWS CLI하려고 할 때 발생할 수 있습니다. 이 문제를 해결하려면 클라이언트 애플리케이션 또는 웹 사이트로 돌아가 메시지가 표시되면 다시 로그인하는 등 다시 시도하세요. 이 경우 때때로 AWS Toolkit 내 에서 보류 중인 연결 시도와 같은 보류 중인 요청도 취소해야 할 수 있습니다IDE.