本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 對 的身分和存取問題進行故障診斷 AWS IoT Greengrass
<a name="security_iam_troubleshoot"></a>

使用以下資訊來協助您診斷和修正使用 AWS IoT Greengrass 和 IAM 時可能遇到的常見問題。

**Topics**
+ [我未獲授權在 中執行動作 AWS IoT Greengrass](#security_iam_troubleshoot-no-permissions)
+ [我未獲授權執行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我是管理員，想要允許其他人存取 AWS IoT Greengrass](#security_iam_troubleshoot-admin-delegate)
+ [我想要允許 以外的人員 AWS 帳戶 存取我的 AWS IoT Greengrass 資源](#security_iam_troubleshoot-cross-account-access)

如需一般的故障診斷協助，請參閱 [故障診斷 AWS IoT Greengrass V2](troubleshooting.md)。

## 我未獲授權在 中執行動作 AWS IoT Greengrass
<a name="security_iam_troubleshoot-no-permissions"></a>

若您收到指出您未獲授權執行動作的錯誤，您必須聯絡管理員以取得協助。您的管理員是提供您使用者名稱和密碼的人員。

當 IAM `mateojackson` 使用者嘗試檢視核心裝置的詳細資訊，但沒有`greengrass:GetCoreDevice`許可時，會發生下列範例錯誤。

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: greengrass:GetCoreDevice on resource: arn:aws:greengrass:us-west-2:123456789012:coreDevices/MyGreengrassCore
```

在此情況下，Mateo 會請求管理員更新他的政策，允許他使用 `arn:aws:greengrass:us-west-2:123456789012:coreDevices/MyGreengrassCore` 動作存取 `greengrass:GetCoreDevice` 資源。

以下是使用 時可能遇到的一般 IAM 問題 AWS IoT Greengrass。

## 我未獲授權執行 iam:PassRole
<a name="security_iam_troubleshoot-passrole"></a>

如果您收到錯誤，告知您未獲授權執行 `iam:PassRole` 動作，您的政策必須更新，允許您將角色傳遞給 AWS IoT Greengrass。

有些 AWS 服務 可讓您將現有角色傳遞給該服務，而不是建立新的服務角色或服務連結角色。如需執行此作業，您必須擁有將角色傳遞至該服務的許可。

名為 `marymajor` 的 IAM 使用者嘗試使用主控台在 AWS IoT Greengrass中執行動作時，發生下列範例錯誤。但是，動作要求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

在這種情況下，Mary 的政策必須更新，允許她執行 `iam:PassRole` 動作。

如果您需要協助，請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。

## 我是管理員，想要允許其他人存取 AWS IoT Greengrass
<a name="security_iam_troubleshoot-admin-delegate"></a>

若要允許其他人存取 AWS IoT Greengrass，您必須將許可授予需要存取的人員或應用程式。如果您使用 AWS IAM Identity Center 管理人員和應用程式，您可以將許可集指派給使用者或群組，以定義其存取層級。許可集會自動建立 IAM 政策，並將其指派給與該人員或應用程式相關聯的 IAM 角色。如需詳細資訊，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。

如果您不是使用 IAM Identity Center，則必須為需要存取的人員或應用程式建立 IAM 實體 （使用者或角色）。您接著必須將政策連接到實體，在 AWS IoT Greengrass中授予他們正確的許可。授予許可後，請將登入資料提供給使用者或應用程式開發人員。他們將使用這些登入資料來存取 AWS。若要進一步了解如何建立 IAM 使用者、群組、政策和許可，請參閱《IAM **[使用者指南》中的 IAM 身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)[和政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。

## 我想要允許 以外的人員 AWS 帳戶 存取我的 AWS IoT Greengrass 資源
<a name="security_iam_troubleshoot-cross-account-access"></a>

您可以建立 IAM 角色，讓其他帳戶中的使用者或您組織外部的人員可用來存取您的 AWS 資源。您可以指定要允許哪些信任對象擔任該角色。如需詳細資訊，請參閱《[IAM 使用者指南》中的提供存取權給您 AWS 帳戶 擁有的另一個 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)，以及[提供存取權給第三方 AWS 帳戶擁有的 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。 **

AWS IoT Greengrass 不支援以資源型政策或存取控制清單 (ACLs) 為基礎的跨帳戶存取。