

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 對 中的客戶受管金鑰進行故障診斷 AWS IAM Identity Center
<a name="cmk-related-errors"></a>

本主題說明使用 時可能遇到的常見客戶受管金鑰相關錯誤 AWS IAM Identity Center ，並提供解決問題的疑難排解步驟。

## 拒絕存取：KMS 解密許可問題
<a name="cmk-issue-1"></a>

**錯誤：**「使用者 xxxxxxx 未獲授權執行：與此加密文字相關聯的資源上的 kms:Decrypt，因為沒有身分型政策允許 kms:Decrypt 動作」

使用者或 IAM 主體在其 IAM 政策或 KMS 金鑰政策中缺少必要的`kms:Decrypt`許可。

**使用 進行故障診斷 AWS CloudTrail：**

1. 尋找 CloudTrail 中的`kms.amazonaws.com`事件

1. 搜尋事件名稱 `Decrypt`

1. 檢閱 `errorCode`和 `errorMessage` 欄位

1. 檢查 `userIdentity`以確認哪些委託人嘗試操作

若要解決此問題，請在其 IAM 政策和 KMS 金鑰政策中授予使用者或 IAM 主體`kms:Decrypt`存取許可。如需詳細資訊，請參閱[在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。

## AWS 在 IAM Identity Center 中啟用客戶受管 KMS 金鑰的受管應用程式登入失敗
<a name="cmk-issue-2"></a>

如果 Identity Center 使用者無法登入 AWS 受管應用程式，且您的 IAM Identity Center 執行個體已啟用客戶受管 KMS 金鑰，請確認 KMS 金鑰政策授予 AWS 受管應用程式使用客戶受管 KMS 金鑰的許可。如需詳細資訊，請參閱[基準 KMS 金鑰和 IAM 政策陳述式](baseline-KMS-key-policy.md)。

## AWS 受管應用程式安裝和/或使用者指派失敗，並在 IAM Identity Center 中啟用客戶受管 KMS 金鑰
<a name="cmk-issue-3"></a>

**錯誤：**「使用者 xxxxxxx 未獲授權執行：與此加密文字相關聯的資源上的 kms:Decrypt，因為沒有身分型政策允許 kms:Decrypt 動作」

使用者或 IAM 主體在其 IAM 政策或 KMS 金鑰政策中缺少必要的`kms:Decrypt`許可。

**使用 CloudTrail 進行故障診斷：**

1. 搜尋事件名稱 `Decrypt`

1. 檢閱 `errorCode`和 `errorMessage` 欄位

1. 檢查 `userIdentity`以確認哪些委託人嘗試操作

若要解決此問題，請在其 IAM 政策和 KMS 金鑰政策中授予使用者或 IAM 主體`kms:Decrypt`存取許可。如需詳細資訊，請參閱[在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。

## KMS 許可問題：使用 設定客戶受管金鑰 AWS IAM Identity Center
<a name="cmk-issue-4"></a>

使用者或 IAM 主體在啟用客戶受管金鑰時，缺少一或多個必要的 KMS `kms:Encrypt`許可 (`kms:Decrypt`、`kms:GenerateDataKey`、、`kms:DescribeKey`)。

**使用 CloudTrail 進行故障診斷：**

1. 搜尋 `Decrypt`、`GenerateDataKey`、 `Encrypt`或 `DescribeKey`事件

1. 檢閱 `errorCode`和 `errorMessage` 欄位

1. 檢查 `userIdentity`以確認哪些委託人嘗試操作

若要解決此問題，請將所有必要的 KMS 許可授予其身分型政策或 KMS 金鑰政策中的使用者或 IAM 主體。如需詳細資訊，請參閱[在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。

## AWS 在 IAM Identity Center 中啟用客戶受管 KMS 金鑰的存取入口網站登入失敗
<a name="cmk-issue-5"></a>

**錯誤：**「ERROR Code： 0001 - IdentityCenter 服務存取遭到封鎖。如需後續步驟，請聯絡您的 IdentityCenter 管理員。」

如果使用者無法登入 AWS 存取入口網站，且您的 IAM Identity Center 執行個體已啟用客戶受管 KMS 金鑰，請確認 KMS 金鑰政策授予 Identity Center 和 Identity Store 必要的許可。如需詳細資訊，請參閱[基準 KMS 金鑰和 IAM 政策陳述式](baseline-KMS-key-policy.md)。