Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Fehlerbehebung bei IAM und Amazon EC2
<a name="troubleshoot_iam-ec2"></a>

Die folgenden Informationen können Ihnen bei der Behebung von IAM-Problemen mit Amazon EC2 helfen.

**Topics**
+ [Wenn ich versuche, eine Instance zu starten, wird die Rolle nicht in der Liste der **IAM-Rolle** der Amazon-EC2-Konsole angezeigt](#troubleshoot_iam-ec2_missingrole)
+ [Die Anmeldeinformationen auf meiner Instance beziehen sich auf die falsche Rolle.](#troubleshoot_iam-ec2_wrongrole)
+ [Wenn ich versuche, `AddRoleToInstanceProfile` aufzurufen, wird ein `AccessDenied`-Fehler angezeigt](#troubleshoot_iam-ec2_access-denied-adding-role)
+ [Amazon EC2: Wenn ich versuche, eine Instance mit einer Rolle zu starten, erhalte ich einen `AccessDenied`-Fehler](#troubleshoot_iam-ec2_access-denied-launch)
+ [Ich kann nicht auf die temporären Anmeldeinformationen in meiner EC2-Instance zugreifen.](#troubleshoot_iam-ec2_no-keys)
+ [Was bedeuten die Fehler aus dem `info`-Dokument in der IAM-Unterstruktur?](#troubleshoot_iam-ec2_errors-info-doc)

## Wenn ich versuche, eine Instance zu starten, wird die Rolle nicht in der Liste der **IAM-Rolle** der Amazon-EC2-Konsole angezeigt
<a name="troubleshoot_iam-ec2_missingrole"></a>

Überprüfen Sie, ob Folgendes der Fall ist:
+ Wenn Sie als IAM-Benutzer angemeldet sind, stellen Sie sicher, dass Sie über die Berechtigung zum Aufrufen von `ListInstanceProfiles` verfügen. Informationen zu den für die Arbeit mit Rollen erforderlichen Berechtigungen finden Sie unter [Erforderliche Berechtigungen für die Nutzung von Rollen mit Amazon EC2](id_roles_use_switch-role-ec2.md#roles-usingrole-ec2instance-permissions). Informationen zum Hinzufügen von Berechtigungen zu einem Benutzer finden Sie unter [Verwalten von IAM-Richtlinien](access_policies_manage.md).

  Wenn Sie Ihre eigenen Berechtigungen nicht ändern können, müssen Sie sich an einen Administrator wenden, der mit IAM arbeiten kann, um Ihre Berechtigungen zu aktualisieren.
+ Wenn Sie eine Rolle mithilfe der IAM-CLI oder -API erstellt haben, überprüfen Sie Folgendes:
  + Sie haben ein Instance-Profil erstellt und diesem Instance-Profil die Rolle hinzugefügt.
  + Sie haben für die Rolle und das Instance-Profil denselben Namen verwendet. Wenn Sie Ihre Rolle und Ihr Instance-Profil unterschiedlich benennen, wird in der Amazon-EC2-Konsole nicht der richtige Rollenname angezeigt.

  Die **IAM-Rollen**-Liste in der Amazon EC2-Konsole listet die Namen der Instanceprofile auf, nicht die Namen der Rollen. Sie müssen den Namen des Instance-Profils auswählen, das die gewünschte Rolle enthält. Weitere Informationen zu Instance-Profilen finden Sie unter [Verwendung von Instance-Profilen](id_roles_use_switch-role-ec2_instance-profiles.md).
**Anmerkung**  
Wenn Sie die IAM-Konsole zum Erstellen von Rollen verwenden, müssen Sie nicht mit Instance-Profilen arbeiten. Für jede Rolle, die Sie in der IAM-Konsole erstellen, wird ein Instance-Profil mit demselben Namen wie die Rolle erstellt, und die Rolle wird automatisch diesem Instance-Profil hinzugefügt. Ein Instance-Profil kann nur eine IAM-Rolle enthalten und dieses Limit kann nicht erhöht werden.

## Die Anmeldeinformationen auf meiner Instance beziehen sich auf die falsche Rolle.
<a name="troubleshoot_iam-ec2_wrongrole"></a>

Die Rolle im Instance-Profil wurde möglicherweise kürzlich ausgetauscht. Wenn dies der Fall ist, muss Ihre Anwendung auf die nächste automatisch geplante Rotation von Anmeldeinformationen warten. Erst dann sind wieder Anmeldeinformationen für Ihre Rolle verfügbar.

Wenn Sie die Änderung erzwingen möchten, müssen Sie [die Zuweisung des Instance-Profils aufheben](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DisassociateIamInstanceProfile.html) und dann [das Instance-Profil zuweisen](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AssociateIamInstanceProfile.html), oder Sie beenden Ihre Instance und starten sie neu.

## Wenn ich versuche, `AddRoleToInstanceProfile` aufzurufen, wird ein `AccessDenied`-Fehler angezeigt
<a name="troubleshoot_iam-ec2_access-denied-adding-role"></a>

Wenn Sie Anforderungen als IAM-Benutzer erstellen, vergewissern Sie sich, dass Sie über die folgenden Berechtigungen verfügen:
+ `iam:AddRoleToInstanceProfile` mit der Ressource entsprechend dem ARN des Instance-Profils (z. B. `arn:aws:iam::999999999999:instance-profile/ExampleInstanceProfile`) 

Weitere Informationen zu den Berechtigungen, die zum Arbeiten mit Rollen erforderlich sind, finden Sie unter [Was sind die ersten Schritte?](id_roles_use_switch-role-ec2.md#roles-usingrole-ec2instance-get-started). Informationen zum Hinzufügen von Berechtigungen zu einem Benutzer finden Sie unter [Verwalten von IAM-Richtlinien](access_policies_manage.md).

## Amazon EC2: Wenn ich versuche, eine Instance mit einer Rolle zu starten, erhalte ich einen `AccessDenied`-Fehler
<a name="troubleshoot_iam-ec2_access-denied-launch"></a>

Überprüfen Sie, ob Folgendes der Fall ist:
+ Starten Sie eine Instance ohne Instance-Profil. Auf diese Weise wird sichergestellt, dass das Problem auf IAM-Rollen für Amazon EC2-Instances beschränkt ist.
+ Wenn Sie Anforderungen als IAM-Benutzer erstellen, vergewissern Sie sich, dass Sie über die folgenden Berechtigungen verfügen:
  + `ec2:RunInstances` mit einer Platzhalterressource ("\*")
  + `iam:PassRole` mit der Ressource entsprechend dem ARN der Rolle (z. B. `arn:aws:iam::999999999999:role/ExampleRoleName`)
+ Rufen Sie die IAM-Aktion `GetInstanceProfile` auf, um sicherzustellen, dass Sie einen gültigen Instance-Profilnamen oder einen gültigen Instance-Profil-ARN verwenden. Weitere Informationen finden Sie unter [Using IAM roles with Amazon EC2 instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/UsingIAM.html#UsingIAMrolesWithAmazonEC2Instances).
+ Rufen Sie die IAM-Aktion `GetInstanceProfile` auf, um sicherzustellen, dass das Instance-Profil eine Rolle hat. Leere Instance-Profile schlagen mit einem `AccessDenied`-Fehler fehl. Weitere Informationen zum Erstellen einer Rolle finden Sie unter [Erstellung einer IAM-Rolle](id_roles_create.md).

Weitere Informationen zu den Berechtigungen, die zum Arbeiten mit Rollen erforderlich sind, finden Sie unter [Was sind die ersten Schritte?](id_roles_use_switch-role-ec2.md#roles-usingrole-ec2instance-get-started). Informationen zum Hinzufügen von Berechtigungen zu einem Benutzer finden Sie unter [Verwalten von IAM-Richtlinien](access_policies_manage.md). 

## Ich kann nicht auf die temporären Anmeldeinformationen in meiner EC2-Instance zugreifen.
<a name="troubleshoot_iam-ec2_no-keys"></a>

Um auf die temporären Sicherheitsanmeldeinformationen Ihrer EC2-Instance zuzugreifen, müssen Sie zuerst die IAM-Konsole verwenden, um eine Rolle zu erstellen. Dann starten Sie eine EC2-Instance, die diese Rolle verwendet und untersuchen die laufende Instance. Weitere Informationen finden Sie unter **Erste Schritte** in [Verwendung einer IAM-Rolle zur Gewährung von Berechtigungen für Anwendungen, die in Amazon-EC2-Instances ausgeführt werden](id_roles_use_switch-role-ec2.md).

Wenn Sie immer noch keinen Zugriff auf Ihre temporären Sicherheitsanmeldeinformationen in Ihrer EC2-Instance haben, überprüfen Sie Folgendes:
+ Können Sie auf einen anderen Teil des Instance Metadata Service (IMDS) zugreifen? Falls nicht, überprüfen Sie, ob nicht Firewall-Regeln den Zugriff auf Anfragen an den IMDS blockieren.

  ```
  [ec2-user@domU-12-31-39-0A-8D-DE ~]$ GET http://169.254.169.254/latest/meta-data/hostname; echo
  ```
+ Ist die `iam`-Unterstruktur des IMDS vorhanden? Wenn nicht, überprüfen Sie, ob Ihrer Instance ein IAM-Instance-Profil zugeordnet ist, indem Sie die EC2 `DescribeInstances`-API-Operation aufrufen oder den `aws ec2 describe-instances`-CLI-Befehl verwenden. 

  ```
  [ec2-user@domU-12-31-39-0A-8D-DE ~]$ GET http://169.254.169.254/latest/meta-data/iam; echo
  ```
+ Überprüfen Sie das `info`-Dokument in der IAM-Unterstruktur auf Fehler. Wenn ein Fehler vorliegt, finden Sie weitere Informationen unter [Was bedeuten die Fehler aus dem `info`-Dokument in der IAM-Unterstruktur?](#troubleshoot_iam-ec2_errors-info-doc).

  ```
  [ec2-user@domU-12-31-39-0A-8D-DE ~]$ GET http://169.254.169.254/latest/meta-data/iam/info; echo
  ```

## Was bedeuten die Fehler aus dem `info`-Dokument in der IAM-Unterstruktur?
<a name="troubleshoot_iam-ec2_errors-info-doc"></a>

### Das `iam/info`-Dokument gibt Folgendes an: `"Code":"InstanceProfileNotFound"`
<a name="troubleshoot_iam-ec2_errors-info-doc-profile-not-found"></a>

Ihr IAM-Instance-Profil wurde gelöscht und Amazon EC2 kann keine Anmeldeinformationen mehr für Ihre Instance bereitstellen. Sie müssen ein gültiges Instance-Profil zu Ihrer Amazon EC2-Instance anfügen.

Wenn ein Instance-Profil mit diesem Namen vorhanden ist, prüfen Sie, ob das Instance-Profil nicht gelöscht und ein zweites Profil mit demselben Namen erstellt wurde:

1. Rufen Sie die IAM–`GetInstanceProfile`Operation auf, um die `InstanceProfileId` zu erhalten.

1. Rufen Sie die Amazon EC2–`DescribeInstances`Operation auf, um die `IamInstanceProfileId` für die Instance zu erhalten.

1. Überprüfen Sie, ob die `InstanceProfileId` aus der IAM-Operation mit der `IamInstanceProfileId` aus der Amazon EC2-Operation übereinstimmt.

Wenn sie unterschiedlich IDs sind, ist das mit Ihren Instances verknüpfte Instanzprofil nicht mehr gültig. Sie müssen ein gültiges Instance-Profil an Ihre Instance anfügen. 

### Das `iam/info`-Dokument gibt an, dass der Vorgang erfolgreich war, gibt aber Folgendes an: `"Message":"Instance Profile does not contain a role..."`
<a name="troubleshoot_iam-ec2_errors-info-doc-no-role"></a>

Die Rolle wurde mit der IAM-Aktion `RemoveRoleFromInstanceProfile` aus dem Instance-Profil entfernt. Sie können die IAM–`AddRoleToInstanceProfile`-Aktion verwenden, um eine Rolle an das Instance-Profil anzufügen. Ihre Anwendung muss bis zur nächsten geplanten Aktualisierungen warten, um auf die Anmeldeinformationen für die Rolle zuzugreifen. 

Wenn Sie die Änderung erzwingen möchten, müssen Sie [die Zuweisung des Instance-Profils aufheben](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DisassociateIamInstanceProfile.html) und dann [das Instance-Profil zuweisen](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AssociateIamInstanceProfile.html), oder Sie beenden Ihre Instance und starten sie neu.

### Das `iam/security-credentials/[role-name]`-Dokument gibt Folgendes an: `"Code":"AssumeRoleUnauthorizedAccess"`
<a name="troubleshoot_iam-ec2_errors-info-doc-unauthorized-access"></a>

Amazon EC2; verfügt nicht über die Berechtigung, die Rolle zu übernehmen. Die Berechtigung zum Übernehmen der Rolle wird über die an die Rolle angefügte Vertrauensrichtlinie gesteuert, wie im folgenden Beispiel veranschaulicht: Verwenden Sie die IAM–`UpdateAssumeRolePolicy`-API zum Aktualisieren der Vertrauensrichtlinie. 

------
#### [ JSON ]

****  

```
{"Version":"2012-10-17",		 	 	 "Statement": [{"Effect": "Allow","Principal": {"Service": ["ec2.amazonaws.com"]},"Action": ["sts:AssumeRole"]}]}
```

------

Ihre Anwendung muss bis zur nächsten automatisch geplanten Aktualisierungen warten, um auf die Anmeldeinformationen für die Rolle zuzugreifen.

Wenn Sie die Änderung erzwingen möchten, müssen Sie [die Zuweisung des Instance-Profils aufheben](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DisassociateIamInstanceProfile.html) und dann [das Instance-Profil zuweisen](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AssociateIamInstanceProfile.html), oder Sie beenden Ihre Instance und starten sie neu.