Solucione los problemas de las claves administradas por el cliente en AWS IAM Identity Center - AWS IAM Identity Center
Acceso denegado: problema con el permiso de descifrado de KMSAWS errores de inicio de sesión en aplicaciones gestionadas con una clave KMS gestionada por el cliente habilitada en el IAM Identity CenterAWS Se produce un error en la asignación and/or de usuarios durante la instalación de aplicaciones gestionadas con una clave KMS gestionada por el cliente y habilitada en el IAM Identity CenterProblema de permisos de KMS: configurar la clave administrada por el cliente con AWS IAM Identity CenterAWS errores de inicio de sesión en el portal de acceso con una clave KMS gestionada por el cliente y habilitada en el IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solucione los problemas de las claves administradas por el cliente en AWS IAM Identity Center

En este tema se describen los errores más comunes relacionados con las claves gestionadas por el cliente que se pueden encontrar al utilizarlas AWS IAM Identity Center y se proporcionan los pasos de solución de problemas para resolverlos.

Acceso denegado: problema con el permiso de descifrado de KMS

Error: «El usuario xxxxxxx no está autorizado a realizar la operación de kms: descifrado en el recurso asociado a este texto cifrado porque ninguna política basada en la identidad permite la acción de descifrado» kms:

El usuario o la entidad principal de IAM carecen del permiso de kms:Decrypt necesario en su política de IAM o en la política de claves de KMS.

Solución de problemas con: AWS CloudTrail

  1. Busque kms.amazonaws.com eventos en CloudTrail

  2. Busque el nombre del evento Decrypt

  3. Revise los campos errorCode y errorMessage

  4. Compruebe userIdentity para confirmar qué entidad principal intentó realizar la operación

Para resolver este problema, conceda al usuario o a la entidad principal de IAM permisos de acceso kms:Decrypt en su política de IAM y en la política de claves de KMS. Para obtener más información, consulte Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center.

AWS errores de inicio de sesión en aplicaciones gestionadas con una clave KMS gestionada por el cliente habilitada en el IAM Identity Center

Si ningún usuario del Identity Center puede iniciar sesión en las aplicaciones AWS gestionadas y usted tiene habilitada una clave de KMS gestionada por el cliente en su instancia del Identity Center de IAM, compruebe que la política de claves de KMS concede a las aplicaciones AWS gestionadas permisos para utilizar la clave de KMS gestionada por el cliente. Para obtener más información, consulte Instrucciones básicas de KMS y políticas de IAM.

AWS Se produce un error en la asignación and/or de usuarios durante la instalación de aplicaciones gestionadas con una clave KMS gestionada por el cliente y habilitada en el IAM Identity Center

Error: «El usuario xxxxxxx no está autorizado a realizar la operación de kms: descifrado en el recurso asociado a este texto cifrado porque ninguna política basada en la identidad permite la acción de descifrado» kms:

El usuario o la entidad principal de IAM carecen del permiso de kms:Decrypt necesario en su política de IAM o en la política de claves de KMS.

Solución de problemas con: CloudTrail

  1. Busque el nombre del evento Decrypt

  2. Revise los campos errorCode y errorMessage

  3. Compruebe userIdentity para confirmar qué entidad principal intentó realizar la operación

Para resolver este problema, conceda al usuario o a la entidad principal de IAM permisos de acceso kms:Decrypt en su política de IAM y en la política de claves de KMS. Para obtener más información, consulte Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center.

Problema de permisos de KMS: configurar la clave administrada por el cliente con AWS IAM Identity Center

El usuario o la entidad principal de IAM carece de uno o más de los permisos de KMS necesarios (kms:Decrypt, kms:Encrypt, kms:GenerateDataKey, kms:DescribeKey) al habilitar la clave administrada por el cliente.

Solución de problemas con CloudTrail:

  1. Busque Decrypt, Encrypt, GenerateDataKey o eventos DescribeKey

  2. Revise los campos errorCode y errorMessage

  3. Compruebe userIdentity para confirmar qué entidad principal intentó realizar la operación

Para resolver este problema, conceda todos los permisos de KMS necesarios al usuario o a la entidad principal de IAM en su política basada en la identidad o en la política de claves de KMS. Para obtener más información, consulte Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center.

AWS errores de inicio de sesión en el portal de acceso con una clave KMS gestionada por el cliente y habilitada en el IAM Identity Center

Error: «Código de error: 0001: el acceso IdentityCenter al servicio está bloqueado. Ponte en contacto con tu IdentityCenter administrador para conocer los pasos adicionales».

Si los usuarios no pueden iniciar sesión en el portal de AWS acceso y tienes habilitada una clave KMS gestionada por el cliente en tu instancia del IAM Identity Center, comprueba que la política de claves de KMS concede los permisos necesarios para Identity Center e Identity Store. Para obtener más información, consulte Instrucciones básicas de KMS y políticas de IAM.