本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
故障診斷 IAM
當您使用 AWS Identity and Access Management () 時,請使用此處的資訊來協助您診斷和修正常見問題IAM。
問題
我無法登入到我的 AWS 帳戶
請驗證您有正確的憑證,並且正在使用正確的方法登入。如需詳細資訊,請參閱《AWS 登入 使用者指南》 中的 登入問題故障診斷。
如果遺失存取金鑰
存取金鑰包含兩個部分:
-
存取金鑰識別符。這不是秘密,而且可以在IAM主控台中列出存取金鑰的位置看到,例如在使用者摘要頁面上。
-
私密存取金鑰。該金鑰會在您最初建立存取金鑰對時提供。它與密碼一樣,之後無法再擷取。如果您遺失了私密存取金鑰,則必須建立新的存取金鑰對。如果您已擁有最大數量的存取金鑰,則必須先刪除現有的金鑰對,才能建立另一個。
如果您遺失了私密存取金鑰,則必須刪除該存取金鑰並新建一個。如需更多指示,請參閱 更新存取金鑰。
政策變數無法運作
如果您的政策變數無法運作,則發生下列其中一個錯誤:
- 版本政策元素中的日期錯誤。
-
請確認包含變數的所有政策是否在政策中包含以下版本編號:
"Version": "2012-10-17"。若沒有正確的版本編號,在評估期間不會替換這些變數。反之,只會從字面上評估這些變數。當您包含最新版本號碼時,不包含變數的政策仍然有效。Version政策元素與政策版本不同。Version政策元素是在政策內使用,並定義政策語言的版本。當您在 中修改客戶受管政策時,就會建立政策版本IAM。變更的政策不會覆寫現有的政策。相反地, IAM會建立新的受管政策版本。若要進一步了解Version政策元素,請參閱 IAMJSON政策元素:Version。若要進一步了解政策版本,請參閱 版本控制IAM政策。 - 變數字元的字母大小寫錯誤。
-
確認您的政策變數為正確的大小寫。如需詳細資訊,請參閱 IAM 政策元素:變數與標籤。
我所做的變更不一定都會立刻生效
作為一項透過全球資料中心內的電腦存取的服務, IAM使用稱為最終一致性的
您設計的全域應用程式必須能夠處理這些可能的延遲問題。確保它們即使在某個位置所做的變更不會立即顯示在另一個位置時,仍能如預期般運作。此類變更包括建立或更新使用者、群組、角色或政策。建議您不要在應用程式的關鍵、高可用性程式碼路徑中包含此類IAM變更。相反地,請在執行頻率較低的個別初始化或設定常式中進行IAM變更。另外,在生產工作流程套用這些變更之前,請務必確認變更已傳播完畢。
如需有關其他一些 AWS 服務受到此影響的詳細資訊,請參閱下列資源:
-
Amazon DynamoDB:讀取 DynamoDB 開發人員指南 DynamoDB 中的一致性,以及讀取 Amazon DynamoDB 開發人員指南中的一致性。 DynamoDB
-
Amazon EC2:Amazon EC2API參考 中的EC2最終一致性。
-
Amazon:EMR在巨量資料部落格中使用 Amazon S3 和 Amazon EMR for ETL Workflows 時確保一致性
AWS -
Amazon Redshift: Amazon Redshift 資料庫開發人員指南中的管理資料一致性
-
Amazon S3:Amazon Simple Storage Service 使用者指南中的 Amazon S3 資料一致性模式
我無權執行:iam:DeleteVirtualMFADevice
當您嘗試為自己或其他人指派或移除虛擬MFA裝置時,您可能會收到下列錯誤:
User: arn:aws:iam::123456789012:user/Diego is not authorized to perform:iam:DeleteVirtualMFADeviceon resource: arn:aws:iam::123456789012:mfa/Diego with an explicit deny
如果有人先前開始在IAM主控台中將虛擬MFA裝置指派給使用者,然後取消程序,則可能會發生這種情況。這會為 中的使用者建立虛擬MFA裝置,IAM但絕不會將其指派給使用者。在建立具有相同MFA裝置名稱的新虛擬MFA裝置之前,請先刪除現有的虛擬裝置。
若要修正此問題,管理員不應編輯政策許可。相反地,管理員必須使用 AWS CLI 或 AWS API 來刪除現有但未指派的虛擬MFA裝置。
刪除現有但未指派的虛擬MFA裝置
-
檢視您帳戶中的虛擬MFA裝置。
-
AWS CLI:
aws iam list-virtual-mfa-devices -
AWS API:
ListVirtualMFADevices
-
-
在回應中,找到您要修復ARN之使用者的虛擬MFA裝置的 。
-
刪除虛擬MFA裝置。
-
AWS CLI:
aws iam delete-virtual-mfa-device -
AWS API:
DeleteVirtualMFADevice
-
如何安全地建立IAM使用者?
如果您有員工需要存取 AWS,您可以選擇建立IAM使用者或使用 IAM Identity Center 進行身分驗證 。如果您使用 IAM, AWS 建議您建立IAM使用者,並安全地將憑證傳達給員工。如果您不在員工旁邊,請使用安全的工作流程將憑證傳達給員工。
使用下列安全工作流程在 中建立新使用者IAM:
-
使用 AWS Management Console建立新使用者。選擇使用產生的密碼授予 AWS Management Console 存取權。如有必要,請選取 Users must create a new password at next sign-in (使用者必須在下次登入時建立新密碼) 核取方塊。在使用者變更密碼之前,請勿將許可政策新增至使用者。
-
新增使用者後,請複製新使用者的登入 URL、使用者名稱和密碼。若要檢視密碼,請選擇 Show (顯示)。
-
使用公司內的安全通訊方法,例如電子郵件、聊天或票證系統,將密碼傳送給您的員工。另請為您的使用者提供IAM使用者主控台連結及其使用者名稱。請員工確認他們可以成功登入,然後再授與他們許可。
-
員工確認之後,新增他們所需的許可。作為安全最佳實務,新增需要使用者使用 進行身分驗證MFA以管理其憑證的政策。如需政策範例,請參閱 AWS:允許 MFA 驗證的 IAM 使用者在安全登入資料頁面上管理自己的登入資料。
其他資源
下列資源可協助您在使用 時進行疑難排解 AWS。
-
AWS CloudTrail 使用者指南 – 用於 AWS CloudTrail 追蹤對 進行的API呼叫歷史記錄, AWS 並將該資訊儲存在日誌檔案中。這有助於您判斷哪些使用者和帳戶存取帳戶中的資源,何時進行呼叫,請求了哪些動作等等。如需詳細資訊,請參閱日誌記錄IAM和 AWS STS API通話與 AWS CloudTrail。
-
AWS 知識中心
– 尋找其他資源的 FAQs和 連結,以協助您疑難排解問題。 -
AWS 支援中心
– 取得技術支援。 -
AWS 進階支援中心
– 取得進階技術支援。
