Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memecahkan masalah kunci yang dikelola pelanggan di AWS IAM Identity Center
Topik ini menjelaskan kesalahan terkait kunci terkelola pelanggan umum yang mungkin Anda temui saat menggunakan AWS IAM Identity Center dan menyediakan langkah-langkah pemecahan masalah untuk mengatasinya.
## Akses Ditolak: Masalah Izin Dekripsi KMS
**Kesalahan:** “Pengguna xxxxxxx tidak berwenang untuk melakukan: kms: Dekripsi pada sumber daya yang terkait dengan ciphertext ini karena tidak ada kebijakan berbasis identitas yang mengizinkan tindakan Dekripsi” kms:
Pengguna atau kepala IAM tidak memiliki `kms:Decrypt` izin yang diperlukan baik dalam kebijakan IAM atau kebijakan kunci KMS mereka.
**Pemecahan masalah dengan: AWS CloudTrail**
1. Cari `kms.amazonaws.com` acara di CloudTrail
1. Cari nama acara `Decrypt`
1. Tinjau `errorCode` dan `errorMessage` bidang
1. Periksa `userIdentity` untuk mengonfirmasi kepala sekolah mana yang mencoba operasi
Untuk mengatasi masalah ini, berikan izin `kms:Decrypt` akses utama pengguna atau IAM dalam kebijakan IAM dan kebijakan kunci KMS mereka. Untuk informasi selengkapnya, lihat [Menerapkan kunci KMS yang dikelola pelanggan di AWS IAM Identity Center](identity-center-customer-managed-keys.md).
## AWS kegagalan login aplikasi terkelola dengan kunci KMS yang dikelola pelanggan diaktifkan di IAM Identity Center
Jika tidak ada pengguna Pusat Identitas yang dapat masuk ke aplikasi AWS terkelola dan Anda mengaktifkan kunci KMS terkelola pelanggan di instans Pusat Identitas IAM Anda, verifikasi bahwa kebijakan kunci KMS memberikan izin aplikasi AWS terkelola untuk menggunakan kunci KMS yang dikelola pelanggan. Untuk informasi selengkapnya, lihat [Kunci KMS dasar dan pernyataan kebijakan IAM](baseline-KMS-key-policy.md).
## AWS kegagalan penetapan and/or pengguna instalasi aplikasi terkelola dengan kunci KMS yang dikelola pelanggan diaktifkan di IAM Identity Center
**Kesalahan:** “Pengguna xxxxxxx tidak berwenang untuk melakukan: kms: Dekripsi pada sumber daya yang terkait dengan ciphertext ini karena tidak ada kebijakan berbasis identitas yang mengizinkan tindakan Dekripsi” kms:
Pengguna atau kepala IAM tidak memiliki `kms:Decrypt` izin yang diperlukan baik dalam kebijakan IAM atau kebijakan kunci KMS mereka.
**Pemecahan masalah dengan: CloudTrail**
1. Cari nama acara `Decrypt`
1. Tinjau `errorCode` dan `errorMessage` bidang
1. Periksa `userIdentity` untuk mengonfirmasi kepala sekolah mana yang mencoba operasi
Untuk mengatasi masalah ini, berikan izin `kms:Decrypt` akses utama pengguna atau IAM dalam kebijakan IAM dan kebijakan kunci KMS mereka. Untuk informasi selengkapnya, lihat [Menerapkan kunci KMS yang dikelola pelanggan di AWS IAM Identity Center](identity-center-customer-managed-keys.md).
## Masalah Izin KMS: Mengkonfigurasi Kunci yang Dikelola Pelanggan dengan AWS IAM Identity Center
Pengguna atau kepala IAM tidak memiliki satu atau lebih izin KMS yang diperlukan (`kms:Decrypt`,, `kms:Encrypt``kms:GenerateDataKey`,`kms:DescribeKey`) saat mengaktifkan kunci yang dikelola pelanggan.
**Pemecahan masalah dengan: CloudTrail**
1. Cari`Decrypt`,`Encrypt`,`GenerateDataKey`, atau `DescribeKey` acara
1. Tinjau `errorCode` dan `errorMessage` bidang
1. Periksa `userIdentity` untuk mengonfirmasi kepala sekolah mana yang mencoba operasi
Untuk mengatasi masalah ini, berikan semua izin KMS yang diperlukan kepada pengguna atau kepala sekolah IAM dalam kebijakan berbasis identitas atau kebijakan kunci KMS mereka. Untuk informasi selengkapnya, lihat [Menerapkan kunci KMS yang dikelola pelanggan di AWS IAM Identity Center](identity-center-customer-managed-keys.md).
## AWS akses kegagalan login portal dengan kunci KMS yang dikelola pelanggan diaktifkan di IAM Identity Center
**Kesalahan:** “Kode KESALAHAN: 0001 - akses IdentityCenter layanan diblokir. Hubungi IdentityCenter admin Anda untuk langkah lebih lanjut.”
Jika pengguna tidak dapat masuk ke portal AWS akses dan Anda mengaktifkan kunci KMS yang dikelola pelanggan di instans Pusat Identitas IAM Anda, verifikasi bahwa kebijakan kunci KMS memberikan izin yang diperlukan ke Pusat Identitas dan Toko Identitas. Untuk informasi selengkapnya, lihat [Kunci KMS dasar dan pernyataan kebijakan IAM](baseline-KMS-key-policy.md).