翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# でのカスタマーマネージドキーのトラブルシューティング AWS IAM アイデンティティセンター
<a name="cmk-related-errors"></a>

このトピックでは、 の使用時に発生する可能性がある一般的なカスタマーマネージドキー関連のエラー AWS IAM アイデンティティセンター と、それらを解決するためのトラブルシューティング手順について説明します。

## アクセス拒否: KMS 復号アクセス許可の問題
<a name="cmk-issue-1"></a>

**エラー:** 「ユーザー xxxxxxx は、この暗号文に関連付けられたリソースに対して kms:Decrypt を実行する権限がありません。これは、アイデンティティベースのポリシーで kms:Decrypt アクションが許可されていないためです。」

ユーザーまたは IAM プリンシパルに、IAM ポリシーまたは KMS キーポリシーに必要な `kms:Decrypt` アクセス許可がありません。

**を使用したトラブルシューティング AWS CloudTrail:**

1. CloudTrail で `kms.amazonaws.com` イベントを検索する

1. イベント名 `Decrypt` を検索する

1. `errorCode` フィールドと `errorMessage`フィールドを確認する

1. どのプリンシパルがオペレーションを試みたか `userIdentity` を確認する

この問題を解決するには、IAM ポリシーと KMS キーポリシーでユーザーまたは IAM プリンシパル `kms:Decrypt` にアクセス許可を付与します。詳細については、「[でのカスタマーマネージド KMS キーの実装 AWS IAM アイデンティティセンター](identity-center-customer-managed-keys.md)」を参照してください。

## AWS IAM Identity Center でカスタマーマネージド KMS キーを有効にした マネージドアプリケーションログイン失敗
<a name="cmk-issue-2"></a>

Identity Center ユーザーが AWS マネージドアプリケーションにログインできず、IAM Identity Center インスタンスでカスタマーマネージド KMS キーが有効になっている場合は、KMS キーポリシーがカスタマーマネージド KMS キーを使用するためのアクセス許可 AWS をマネージドアプリケーションに付与していることを確認します。詳細については、「[ベースライン KMS キーポリシー](baseline-KMS-key-policy.md)」を参照してください。

## AWS IAM Identity Center でカスタマーマネージド KMS キーを有効にした マネージドアプリケーションのインストールおよび/またはユーザー割り当ての失敗
<a name="cmk-issue-3"></a>

**エラー:** 「ユーザー xxxxxxx は、この暗号文に関連付けられたリソースに対して kms:Decrypt を実行する権限がありません。これは、アイデンティティベースのポリシーで kms:Decrypt アクションが許可されていないためです。」

ユーザーまたは IAM プリンシパルに、IAM ポリシーまたは KMS キーポリシーに必要な `kms:Decrypt` アクセス許可がありません。

**CloudTrail を使用したトラブルシューティング:**

1. イベント名 `Decrypt` を検索する

1. `errorCode` フィールドと `errorMessage`フィールドを確認する

1. どのプリンシパルがオペレーションを試みたか `userIdentity` を確認する

この問題を解決するには、IAM ポリシーと KMS キーポリシーでユーザーまたは IAM プリンシパル `kms:Decrypt` にアクセス許可を付与します。詳細については、「[でのカスタマーマネージド KMS キーの実装 AWS IAM アイデンティティセンター](identity-center-customer-managed-keys.md)」を参照してください。

## KMS アクセス許可の問題: でカスタマーマネージドキーを設定する AWS IAM アイデンティティセンター
<a name="cmk-issue-4"></a>

ユーザーまたは IAM プリンシパルには、カスタマーマネージドキーを有効にするときに 1 つ以上の必要な KMS アクセス許可 (`kms:Decrypt`、`kms:Encrypt`、`kms:GenerateDataKey`、`kms:DescribeKey`) がありません。

**CloudTrail を使用したトラブルシューティング:**

1. `Decrypt`、`Encrypt`、`GenerateDataKey` または `DescribeKey` イベントを検索する

1. `errorCode` フィールドと `errorMessage`フィールドを確認する

1. どのプリンシパルがオペレーションを試みたか `userIdentity` を確認する

この問題を解決するには、ID ベースのポリシーまたは KMS キーポリシーで、必要なすべての KMS アクセス許可をユーザーまたは IAM プリンシパルに付与します。詳細については、「[でのカスタマーマネージド KMS キーの実装 AWS IAM アイデンティティセンター](identity-center-customer-managed-keys.md)」を参照してください。

## AWS IAM Identity Center でカスタマーマネージド KMS キーが有効になっているアクセスポータルのログイン失敗
<a name="cmk-issue-5"></a>

**エラー:** 「ERROR Code: 0001 - IdentityCenter サービスへのアクセスがブロックされています。詳細な手順については、IdentityCenter 管理者にお問い合わせください。」

ユーザーが AWS アクセスポータルにログインできず、IAM Identity Center インスタンスでカスタマーマネージド KMS キーが有効になっている場合は、KMS キーポリシーが Identity Center と Identity Store に必要なアクセス許可を付与していることを確認します。詳細については、「[ベースライン KMS キーポリシー](baseline-KMS-key-policy.md)」を参照してください。