

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Solucione problemas de chaves gerenciadas pelo cliente em Centro de Identidade do AWS IAM
<a name="cmk-related-errors"></a>

Este tópico descreve erros comuns relacionados a chaves gerenciadas pelo cliente que você pode encontrar ao usar Centro de Identidade do AWS IAM e fornece etapas de solução de problemas para resolvê-los.

## Acesso negado: problema de permissão de descriptografia do KMS
<a name="cmk-issue-1"></a>

**Erro:** “O usuário xxxxxxx não está autorizado a executar: kms: Descriptografar no recurso associado a esse texto cifrado porque nenhuma política baseada em identidade permite a ação Descriptografar” kms:

O usuário ou entidade principal do IAM não tem a permissão `kms:Decrypt` exigida na política do IAM ou na política de chave KMS.

**Solução de problemas com AWS CloudTrail:**

1. Procure `kms.amazonaws.com` eventos em CloudTrail

1. Pesquise o nome do evento `Decrypt`

1. Revise os campos `errorCode` e `errorMessage`

1. Verifique `userIdentity` para confirmar qual entidade principal tentou a operação

Para resolver esse problema, conceda ao usuário ou à entidade principal do IAM as permissões de acesso `kms:Decrypt` na política do IAM e na política de chave KMS. Para obter mais informações, consulte [Implementando chaves KMS gerenciadas pelo cliente em Centro de Identidade do AWS IAM](identity-center-customer-managed-keys.md).

## AWS falhas de login de aplicativos gerenciados com uma chave KMS gerenciada pelo cliente ativada no IAM Identity Center
<a name="cmk-issue-2"></a>

Se nenhum usuário do Identity Center puder fazer login em aplicativos AWS gerenciados e você tiver uma chave KMS gerenciada pelo cliente ativada em sua instância do IAM Identity Center, verifique se a política de chaves do KMS concede aos aplicativos AWS gerenciados permissões para usar a chave KMS gerenciada pelo cliente. Para obter mais informações, consulte [Política básica de chaves do KMS](baseline-KMS-key-policy.md).

## AWS falha de atribuição de and/or usuário na instalação do aplicativo gerenciado com uma chave KMS gerenciada pelo cliente ativada no IAM Identity Center
<a name="cmk-issue-3"></a>

**Erro:** “O usuário xxxxxxx não está autorizado a executar: kms: Descriptografar no recurso associado a esse texto cifrado porque nenhuma política baseada em identidade permite a ação Descriptografar” kms:

O usuário ou entidade principal do IAM não tem a permissão `kms:Decrypt` exigida na política do IAM ou na política de chave KMS.

**Solução de problemas com CloudTrail:**

1. Pesquise o nome do evento `Decrypt`

1. Revise os campos `errorCode` e `errorMessage`

1. Verifique `userIdentity` para confirmar qual entidade principal tentou a operação

Para resolver esse problema, conceda ao usuário ou à entidade principal do IAM as permissões de acesso `kms:Decrypt` na política do IAM e na política de chave KMS. Para obter mais informações, consulte [Implementando chaves KMS gerenciadas pelo cliente em Centro de Identidade do AWS IAM](identity-center-customer-managed-keys.md).

## Problema de permissões do KMS: configuração da chave gerenciada pelo cliente com Centro de Identidade do AWS IAM
<a name="cmk-issue-4"></a>

O usuário ou entidade principal do IAM não tem uma ou mais permissões de KMS exigidas (`kms:Decrypt`, `kms:Encrypt`, `kms:GenerateDataKey`, `kms:DescribeKey`) ao habilitar a chave gerenciada pelo cliente.

**Solução de problemas com CloudTrail:**

1. Pesquise por eventos `Decrypt`, `Encrypt`, `GenerateDataKey` ou `DescribeKey`

1. Revise os campos `errorCode` e `errorMessage`

1. Verifique `userIdentity` para confirmar qual entidade principal tentou a operação

Para resolver esse problema, conceda todas as permissões exigidas do KMS ao usuário ou à entidade principal do IAM na política baseada em identidade ou política de chave KMS. Para obter mais informações, consulte [Implementando chaves KMS gerenciadas pelo cliente em Centro de Identidade do AWS IAM](identity-center-customer-managed-keys.md).

## AWS falhas de login no portal de acesso com uma chave KMS gerenciada pelo cliente ativada no IAM Identity Center
<a name="cmk-issue-5"></a>

**Erro:** “Código de ERRO: 0001 - o acesso ao IdentityCenter serviço está bloqueado. Entre em contato com seu IdentityCenter administrador para obter mais etapas.”

Se os usuários não conseguirem fazer login no portal de AWS acesso e você tiver uma chave KMS gerenciada pelo cliente ativada na sua instância do IAM Identity Center, verifique se a política de chaves do KMS concede as permissões necessárias ao Identity Center e ao Identity Store. Para obter mais informações, consulte [Política básica de chaves do KMS](baseline-KMS-key-policy.md).