本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 對 Amazon Keyspaces 身分和存取進行故障診斷
使用以下資訊來協助您診斷和修正使用 Amazon Keyspaces 和 IAM 時可能遇到的常見問題。
**Topics**
+ [我未獲授權在 Amazon Keyspaces 中執行動作](#security_iam_troubleshoot-no-permissions)
+ [我修改了 IAM 使用者或角色,變更未立即生效](#security_iam_troubleshoot-effect)
+ [我無法使用 Amazon Keyspaces point-in-time復原 (PITR) 還原資料表](#security_iam_troubleshoot-pitr)
+ [我未獲授權執行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我是管理員,想要允許其他人存取 Amazon Keyspaces](#security_iam_troubleshoot-admin-delegate)
+ [我想要允許 以外的人員 AWS 帳戶 存取我的 Amazon Keyspaces 資源](#security_iam_troubleshoot-cross-account-access)
## 我未獲授權在 Amazon Keyspaces 中執行動作
如果 AWS 管理主控台 告知您無權執行 動作,則必須聯絡您的管理員尋求協助。您的管理員是為您提供使用者名稱和密碼的人員。
當 `mateojackson` IAM 使用者嘗試使用主控台檢視*資料表*的詳細資訊,但沒有資料表的`cassandra:Select`許可時,會發生下列範例錯誤。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cassandra:Select on resource: mytable
```
在此情況下,Mateo 會請求管理員更新他的政策,允許他使用 `mytable` 動作存取 `cassandra:Select` 資源。
## 我修改了 IAM 使用者或角色,變更未立即生效
對於具有現有、已建立的 Amazon Keyspaces 連線的應用程式,IAM 政策變更最多可能需要 10 分鐘才會生效。當應用程式建立新的連線時,IAM 政策變更會立即生效。如果您已修改現有的 IAM 使用者或角色,但尚未立即生效,請等待 10 分鐘,或中斷連線並重新連線至 Amazon Keyspaces。
## 我無法使用 Amazon Keyspaces point-in-time復原 (PITR) 還原資料表
如果您嘗試使用point-in-time復原 (PITR) 還原 Amazon Keyspaces 資料表,而您看到還原程序開始,但未成功完成,則可能尚未設定還原程序所需的所有必要許可。您必須聯絡管理員尋求協助,並要求該人員更新您的政策,以允許您在 Amazon Keyspaces 中還原資料表。
除了使用者許可之外,Amazon Keyspaces 可能需要許可,才能代表您委託人在還原程序期間執行動作。如果資料表使用客戶受管金鑰加密,或者您使用限制傳入流量的 IAM 政策,就會發生這種情況。例如,如果您在 IAM 政策中使用條件索引鍵來限制來源流量至特定端點或 IP 範圍,則還原操作會失敗。若要允許 Amazon Keyspaces 代表您委託人執行資料表還原操作,您必須在 IAM 政策中新增`aws:ViaAWSService`全域條件金鑰。
如需還原資料表之許可的詳細資訊,請參閱 [設定 Amazon Keyspaces PITR 的還原資料表 IAM 許可](howitworks_restore_permissions.md)。
## 我未獲授權執行 iam:PassRole
如果您收到錯誤,告知您無權執行 `iam:PassRole`動作,您的政策必須更新,以允許您將角色傳遞給 Amazon Keyspaces。
有些 AWS 服務 可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為 的 IAM `marymajor` 使用者嘗試使用主控台在 Amazon Keyspaces 中執行動作時,會發生下列範例錯誤。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在這種情況下,Mary 的政策必須更新,允許她執行 `iam:PassRole` 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我是管理員,想要允許其他人存取 Amazon Keyspaces
若要允許其他人存取 Amazon Keyspaces,您必須將許可授予需要存取的人員或應用程式。如果您使用 AWS IAM Identity Center 管理人員和應用程式,您可以將許可集指派給使用者或群組,以定義其存取層級。許可集會自動建立 IAM 政策,並將其指派給與該人員或應用程式相關聯的 IAM 角色。如需詳細資訊,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
如果您不是使用 IAM Identity Center,則必須為需要存取的人員或應用程式建立 IAM 實體 (使用者或角色)。然後,您必須將政策連接到實體,以授予他們在 Amazon Keyspaces 中的正確許可。授予許可後,請將登入資料提供給使用者或應用程式開發人員。他們將使用這些登入資料來存取 AWS。若要進一步了解如何建立 IAM 使用者、群組、政策和許可,請參閱《IAM **[使用者指南》中的 IAM 身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)和[政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
## 我想要允許 以外的人員 AWS 帳戶 存取我的 Amazon Keyspaces 資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要了解 Amazon Keyspaces 是否支援這些功能,請參閱 [Amazon Keyspaces 如何與 IAM 搭配使用](security_iam_service-with-iam.md)。
+ 若要了解如何 AWS 帳戶 在您擁有的 資源之間提供存取權,請參閱《[IAM 使用者指南》中的在您擁有 AWS 帳戶 的另一個 IAM 使用者中提供存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。 **
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權,請參閱《*IAM 使用者指南*》中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 如需了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱《IAM 使用者指南》**中的 [IAM 中的跨帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。