

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 对客户管理的密钥进行故障排除 AWS IAM Identity Center
<a name="cmk-related-errors"></a>

本主题介绍您在使用时可能遇到的与客户托管密钥相关的常见错误， AWS IAM Identity Center 并提供了解决这些错误的故障排除步骤。

## 访问被拒绝：KMS 解密权限问题
<a name="cmk-issue-1"></a>

**错误：**“用户 xxxxxxx 无权执行：对与此密文关联的资源进行 kms:解密，因为没有基于身份的策略允许解密操作” kms:

用户或 IAM 主体在其 IAM 策略或 KMS 密钥策略中缺少所需的 `kms:Decrypt` 权限。

**使用 AWS CloudTrail以下方法进行故障排除**

1. 在中查找`kms.amazonaws.com`活动 CloudTrail

1. 搜索事件名称 `Decrypt`

1. 查看 `errorCode` 和 `errorMessage` 字段

1. 检查 `userIdentity` 以确认是哪个主体尝试了该操作

要解决此问题，请在该用户或 IAM 主体的 IAM 策略和 KMS 密钥策略中授予其 `kms:Decrypt` 访问权限。有关更多信息，请参阅 [在中实现客户托管的 KMS 密钥 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。

## AWS 在 IAM 身份中心启用客户托管 KMS 密钥后，托管应用程序登录失败
<a name="cmk-issue-2"></a>

如果没有身份中心用户可以登录 AWS 托管应用程序，并且您在 IAM Identity Center 实例中启用了客户托管的 KMS 密钥，请验证 KMS 密钥策略是否授予 AWS 托管应用程序使用客户托管的 KMS 密钥的权限。有关更多信息，请参阅 [基线 KMS 密钥和 IAM 策略语句](baseline-KMS-key-policy.md)。

## AWS 在 IAM Identity Center 中启用客户托管 KMS 密钥后，托管应用程序安装 and/or 用户分配失败
<a name="cmk-issue-3"></a>

**错误：**“用户 xxxxxxx 无权执行：对与此密文关联的资源进行 kms:解密，因为没有基于身份的策略允许解密操作” kms:

用户或 IAM 主体在其 IAM 策略或 KMS 密钥策略中缺少所需的 `kms:Decrypt` 权限。

**使用 CloudTrail以下方法进行故障排除**

1. 搜索事件名称 `Decrypt`

1. 查看 `errorCode` 和 `errorMessage` 字段

1. 检查 `userIdentity` 以确认是哪个主体尝试了该操作

要解决此问题，请在该用户或 IAM 主体的 IAM 策略和 KMS 密钥策略中授予其 `kms:Decrypt` 访问权限。有关更多信息，请参阅 [在中实现客户托管的 KMS 密钥 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。

## KMS 权限问题：使用配置客户托管密钥 AWS IAM Identity Center
<a name="cmk-issue-4"></a>

在启用客户自主管理型密钥时，用户或 IAM 主体缺少一个或多个必需的 KMS 权限（`kms:Decrypt`、`kms:Encrypt`、`kms:GenerateDataKey`、`kms:DescribeKey`）。

**使用 CloudTrail以下方法进行故障排除**

1. 搜索 `Decrypt`、`Encrypt`、`GenerateDataKey` 或 `DescribeKey` 事件

1. 查看 `errorCode` 和 `errorMessage` 字段

1. 检查 `userIdentity` 以确认是哪个主体尝试了该操作

要解决此问题，请在其基于身份的策略或 KMS 密钥策略中向用户或 IAM 主体授予所有必需的 KMS 权限。有关更多信息，请参阅 [在中实现客户托管的 KMS 密钥 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。

## AWS 在 IAM 身份中心启用客户托管 KMS 密钥后，访问门户登录失败
<a name="cmk-issue-5"></a>

**错误：**“错误代码：0001- IdentityCenter 服务访问被阻止。请联系您的 IdentityCenter 管理员了解更多步骤。”

如果用户无法登录 AWS 访问门户，并且您在 IAM Identity Center 实例中启用了客户托管的 KMS 密钥，请验证 KMS 密钥策略是否向身份中心和身份存储授予了必要的权限。有关更多信息，请参阅 [基线 KMS 密钥和 IAM 策略语句](baseline-KMS-key-policy.md)。