As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solucione problemas de chaves gerenciadas pelo cliente em AWS IAM Identity Center

Este tópico descreve erros comuns relacionados a chaves gerenciadas pelo cliente que você pode encontrar ao usar AWS IAM Identity Center e fornece etapas de solução de problemas para resolvê-los.

Acesso negado: problema de permissão de descriptografia do KMS

Erro: “O usuário xxxxxxx não está autorizado a executar: kms: Descriptografar no recurso associado a esse texto cifrado porque nenhuma política baseada em identidade permite a ação Descriptografar” kms:

O usuário ou entidade principal do IAM não tem a permissão kms:Decrypt exigida na política do IAM ou na política de chave KMS.

Solução de problemas com AWS CloudTrail:

Para resolver esse problema, conceda ao usuário ou à entidade principal do IAM as permissões de acesso kms:Decrypt na política do IAM e na política de chave KMS. Para obter mais informações, consulte Como implementar chaves KMS gerenciadas pelo cliente no AWS IAM Identity Center.

AWS falhas de login de aplicativos gerenciados com uma chave KMS gerenciada pelo cliente ativada no IAM Identity Center

Se nenhum usuário do Identity Center puder fazer login em aplicativos AWS gerenciados e você tiver uma chave KMS gerenciada pelo cliente ativada em sua instância do IAM Identity Center, verifique se a política de chaves do KMS concede aos aplicativos AWS gerenciados permissões para usar a chave KMS gerenciada pelo cliente. Para obter mais informações, consulte Declarações de chave KMS e de política do IAM de linha de base.

AWS falha de atribuição de and/or usuário na instalação do aplicativo gerenciado com uma chave KMS gerenciada pelo cliente ativada no IAM Identity Center

Erro: “O usuário xxxxxxx não está autorizado a executar: kms: Descriptografar no recurso associado a esse texto cifrado porque nenhuma política baseada em identidade permite a ação Descriptografar” kms:

O usuário ou entidade principal do IAM não tem a permissão kms:Decrypt exigida na política do IAM ou na política de chave KMS.

Solução de problemas com CloudTrail:

Para resolver esse problema, conceda ao usuário ou à entidade principal do IAM as permissões de acesso kms:Decrypt na política do IAM e na política de chave KMS. Para obter mais informações, consulte Como implementar chaves KMS gerenciadas pelo cliente no AWS IAM Identity Center.

Problema de permissões do KMS: configuração da chave gerenciada pelo cliente com AWS IAM Identity Center

O usuário ou entidade principal do IAM não tem uma ou mais permissões de KMS exigidas (kms:Decrypt, kms:Encrypt, kms:GenerateDataKey, kms:DescribeKey) ao habilitar a chave gerenciada pelo cliente.

Solução de problemas com CloudTrail:

Para resolver esse problema, conceda todas as permissões exigidas do KMS ao usuário ou à entidade principal do IAM na política baseada em identidade ou política de chave KMS. Para obter mais informações, consulte Como implementar chaves KMS gerenciadas pelo cliente no AWS IAM Identity Center.

AWS falhas de login no portal de acesso com uma chave KMS gerenciada pelo cliente ativada no IAM Identity Center

Erro: “Código de ERRO: 0001 - o acesso ao IdentityCenter serviço está bloqueado. Entre em contato com seu IdentityCenter administrador para obter mais etapas.”

Se os usuários não conseguirem fazer login no portal de AWS acesso e você tiver uma chave KMS gerenciada pelo cliente ativada na sua instância do IAM Identity Center, verifique se a política de chaves do KMS concede as permissões necessárias ao Identity Center e ao Identity Store. Para obter mais informações, consulte Declarações de chave KMS e de política do IAM de linha de base.