Solucionar problemas do IAM - AWS Identity and Access Management
Não consigo fazer login na minha conta da AWSPerdi minhas chaves de acessoAs variáveis da política não estão funcionandoAs alterações que eu faço nem sempre ficam imediatamente visíveisNão estou autorizado a executar: iam:DeleteVirtualMFADeviceComo faço para criar usuários do IAM com segurança?Recursos adicionais

Solucionar problemas do IAM

Use as informações contidas aqui para ajudar a diagnosticar e corrigir problemas comuns ao trabalhar com o AWS Identity and Access Management (IAM).

Problemas

Não consigo fazer login na minha conta da AWS

Verifique se você tem as credenciais corretas e se está usando o método correto para fazer login. Para obter mais informações, consulte Solução de problemas de login no Guia do usuário do Início de Sessão da AWS.

Perdi minhas chaves de acesso

As chaves de acesso consistem em duas partes:

  • O identificador da chave de acesso. Não se trata de um segredo e pode ser visto no console do IAM sempre que as chaves de acesso forem listadas, como na página de resumo do usuário.

  • A chave de acesso secreta. É fornecida quando você cria inicialmente o par de chaves de acesso. Assim como uma senha, ela não pode ser recuperada posteriormente. Se você perdeu sua chave de acesso secreta, crie um novo par de chaves de acesso. Se você já tiver o número máximo de chaves de acesso, será necessário excluir um par existente antes de criar outro.

Se tiver perdido a chave de acesso secreta, você deverá excluir a chave de acesso e criar uma nova. Para obter mais instruções, consulte Atualizar chaves de acesso.

As variáveis da política não estão funcionando

Se suas variáveis ​​de política não estiverem funcionando, um dos seguintes erros ocorreu:

A data está errada no elemento da política de versão.

Verifique se todas as políticas que incluem variáveis incluem o seguinte número da versão na política: "Version": "2012-10-17". Sem o número da versão correta, as variáveis não são substituídas durante a avaliação. Em vez disso, as variáveis são avaliadas literalmente. Políticas que não incluem variáveis ​​ainda funcionam quando você inclui o número da versão mais recente.

Um elemento de política Version é diferente de uma versão de política. O elemento de política Version é usado em uma política e define a versão da linguagem da política. Uma versão de política é criada quando você modifica uma política gerenciada pelo cliente no IAM. A política alterada não substitui a política existente. Em vez disso, o IAM cria uma nova versão da política gerenciada. Para saber mais sobre o elemento de política Version, consulte Elementos de política JSON do IAM: Version. Para saber mais sobre as versões de política, consulte Versionamento de políticas do IAM.

Os caracteres variáveis estão em maiúsculas e minúsculas erradas.

Verifique se as variáveis de política estão no caso certo. Para obter detalhes, consulte Elementos de política do IAM: variáveis e etiquetas.

As alterações que eu faço nem sempre ficam imediatamente visíveis

Como um serviço que é acessado por meio de computadores em data centers em todo o mundo, o IAM usa um modelo de computação distribuído chamado consistência final. Quaisquer alterações feitas no IAM (ou outros serviços da AWS), incluindo tags de controle de acesso por atributo (ABAC), levam tempo para se tornarem visíveis em todos os endpoints possíveis. Parte do atraso resulta do tempo que leva para enviar dados de servidor para servidor, de zona de replicação para zona de replicação e de região para região. O IAM também usa o armazenamento em cache para melhorar a performance, porém, em alguns casos, isso pode adicionar tempo. A alteração talvez não fique visível enquanto os dados armazenados em cache anteriormente não atingirem o tempo limite.

Você deve projetar seus aplicativos globais levando em conta esses possíveis atrasos. Garanta que eles funcionem conforme o esperado, mesmo quando uma alteração feita em um local não fique imediatamente visível em outro. Essas alterações incluem a criação ou a atualização de usuários, grupos, funções ou políticas. Recomendamos que você não inclua essas alterações do IAM nos caminhos de código críticos e de alta disponibilidade da aplicação. Em vez disso, faça alterações do IAM em uma rotina de inicialização ou de configuração separada que você executa com menos frequência. Além disso, certifique-se de verificar se as alterações foram propagadas antes que os fluxos de trabalho de produção dependam delas.

Para obter mais informações sobre como alguns outros serviços da AWS são afetados por isso, consulte os seguintes recursos:

Não estou autorizado a executar: iam:DeleteVirtualMFADevice

Você pode receber o seguinte erro ao tentar atribuir ou remover um dispositivo MFA virtual para você ou para outras pessoas:

User: arn:aws:iam::123456789012:user/Diego is not authorized to perform: iam:DeleteVirtualMFADevice on resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny

Isso pode acontecer se, anteriormente, alguém tiver começado a atribuir um dispositivo com MFA virtual a um usuário no console do IAM e tiver cancelado o processo. Isso cria um dispositivo de MFA virtual para o usuário no IAM, mas nunca o associa a esse usuário. Exclua o dispositivo MFA virtual existente antes de criar um novo com o mesmo nome de dispositivo.

Para corrigir esse problema, um administrador não deve editar permissões de política. Em vez disso, o administrador deve usar a AWS CLI ou a API da AWS para excluir o dispositivo de MFA virtual existente, mas não atribuído.

Para excluir um dispositivo de MFA virtual existente, mas não atribuído

  1. Visualize os dispositivos MFA virtuais em sua conta.

  2. Na resposta, localize o ARN do dispositivo de MFA virtual para o usuário que você está tentando corrigir.

  3. Exclua o dispositivo de MFA virtual.

Como faço para criar usuários do IAM com segurança?

Se houver funcionários que precisam de acesso à AWS, você poderá criar usuários do IAM ou usar o IAM Identity Center para autenticação. Se você usa o IAM, a AWS recomenda que você crie um usuário do IAM e informe com segurança as credenciais ao funcionário. Se você não estiver fisicamente localizado ao lado de seu funcionário, use um fluxo de trabalho seguro para comunicar as credenciais aos funcionários.

Use o fluxo de trabalho seguro a seguir para criar um novo usuário no IAM:

  1. Crie um novo usuário usando o AWS Management Console. Escolha conceder acesso ao AWS Management Console com uma senha gerada automaticamente. Se necessário, marque a caixa de seleção Users must create a new password at next sign-in (Usuários devem criar uma nova senha no próximo login). Não adicione uma política de permissões ao usuário até que ele tenha alterado sua senha.

  2. Depois que o usuário for adicionado, copie o URL de login, o nome de usuário e a senha para o novo usuário. Para visualizar a senha, escolha Show (Mostrar).

  3. Envie a senha para seu funcionário usando um método de comunicação segura em sua empresa, como e-mail, chat ou um sistema de emissão de bilhetes. Separadamente, forneça aos usuários o link do console do usuário e o nome de usuário do IAM. Peça que o funcionário confirme se ele pode fazer login com sucesso antes de conceder permissões a ele.

  4. Depois que o funcionário confirmar, adicione as permissões que forem necessárias. Como prática recomendada de segurança, adicione uma política que exija que o usuário autentique usando MFA para gerenciar suas credenciais. Para visualizar um exemplo de política, consulte AWS: permite que os usuários do IAM autenticados por MFA gerenciem suas próprias credenciais na página Credenciais de segurança.

Recursos adicionais

Os seguintes recursos podem ajudar você a solucionar problemas enquanto trabalha com o AWS.