でのカスタマーマネージドキーのトラブルシューティング AWS IAM Identity Center - AWS IAM Identity Center
アクセス拒否: KMS 復号アクセス許可の問題AWS IAM Identity Center でカスタマーマネージド KMS キーを有効にした マネージドアプリケーションのログイン失敗AWS IAM Identity Center でカスタマーマネージド KMS キーを有効にした マネージドアプリケーションのインストールおよび/またはユーザー割り当ての失敗KMS アクセス許可の問題: でカスタマーマネージドキーを設定する AWS IAM Identity CenterAWS IAM Identity Center でカスタマーマネージド KMS キーが有効になっているアクセスポータルのログイン失敗

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのカスタマーマネージドキーのトラブルシューティング AWS IAM Identity Center

このトピックでは、 の使用時に発生する可能性がある一般的なカスタマーマネージドキー関連のエラー AWS IAM Identity Center と、それらを解決するためのトラブルシューティング手順について説明します。

アクセス拒否: KMS 復号アクセス許可の問題

エラー: 「ユーザー xxxxxxx は、この暗号文に関連付けられたリソースに対して kms:Decrypt を実行する権限がありません。これは、アイデンティティベースのポリシーで kms:Decrypt アクションが許可されていないためです。」

ユーザーまたは IAM プリンシパルに、IAM ポリシーまたは KMS キーポリシーに必要な kms:Decrypt アクセス許可がありません。

を使用したトラブルシューティング AWS CloudTrail:

  1. CloudTrail で kms.amazonaws.com イベントを検索する

  2. イベント名 Decrypt を検索する

  3. errorCode フィールドと errorMessageフィールドを確認する

  4. どのプリンシパルがオペレーションを試みたか userIdentity を確認する

この問題を解決するには、IAM ポリシーと KMS キーポリシーでユーザーまたは IAM プリンシパル kms:Decrypt にアクセス許可を付与します。詳細については、「AWS IAM Identity Center でのカスタマーマネージド KMS キーの実装」を参照してください。

AWS IAM Identity Center でカスタマーマネージド KMS キーを有効にした マネージドアプリケーションのログイン失敗

Identity Center ユーザーが AWS マネージドアプリケーションにログインできず、IAM Identity Center インスタンスでカスタマーマネージド KMS キーが有効になっている場合は、KMS キーポリシーがカスタマーマネージド KMS キーを使用するためのアクセス許可を AWS マネージドアプリケーションに付与していることを確認します。詳細については、「ベースライン KMS キーと IAM ポリシーステートメント」を参照してください。

AWS IAM Identity Center でカスタマーマネージド KMS キーを有効にした マネージドアプリケーションのインストールおよび/またはユーザー割り当ての失敗

エラー: 「ユーザー xxxxxxx は、この暗号文に関連付けられたリソースに対して kms:Decrypt を実行する権限がありません。これは、アイデンティティベースのポリシーで kms:Decrypt アクションが許可されていないためです。」

ユーザーまたは IAM プリンシパルに、IAM ポリシーまたは KMS キーポリシーに必要な kms:Decrypt アクセス許可がありません。

CloudTrail を使用したトラブルシューティング:

  1. イベント名 Decrypt を検索する

  2. errorCode フィールドと errorMessageフィールドを確認する

  3. どのプリンシパルがオペレーションを試みたか userIdentity を確認する

この問題を解決するには、IAM ポリシーと KMS キーポリシーでユーザーまたは IAM プリンシパル kms:Decrypt にアクセス許可を付与します。詳細については、「AWS IAM Identity Center でのカスタマーマネージド KMS キーの実装」を参照してください。

KMS アクセス許可の問題: でカスタマーマネージドキーを設定する AWS IAM Identity Center

ユーザーまたは IAM プリンシパルには、カスタマーマネージドキーを有効にするときに 1 つ以上の必要な KMS アクセス許可 (kms:Decryptkms:Encryptkms:GenerateDataKeykms:DescribeKey) がありません。

CloudTrail を使用したトラブルシューティング:

  1. DecryptEncryptGenerateDataKey または DescribeKey イベントを検索する

  2. errorCode フィールドと errorMessageフィールドを確認する

  3. どのプリンシパルがオペレーションを試みたか userIdentity を確認する

この問題を解決するには、ID ベースのポリシーまたは KMS キーポリシーで、必要なすべての KMS アクセス許可をユーザーまたは IAM プリンシパルに付与します。詳細については、「AWS IAM Identity Center でのカスタマーマネージド KMS キーの実装」を参照してください。

AWS IAM Identity Center でカスタマーマネージド KMS キーが有効になっているアクセスポータルのログイン失敗

エラー: 「ERROR Code: 0001 - IdentityCenter サービスへのアクセスがブロックされています。詳細な手順については、IdentityCenter 管理者にお問い合わせください。」

ユーザーが AWS アクセスポータルにログインできず、IAM Identity Center インスタンスでカスタマーマネージド KMS キーが有効になっている場合は、KMS キーポリシーが Identity Center と Identity Store に必要なアクセス許可を付与していることを確認します。詳細については、「ベースライン KMS キーと IAM ポリシーステートメント」を参照してください。