错误代码:Microsoft Entra 权限管理

在载入期间,Microsoft Entra 权限管理可能会返回管理员可以会审的错误消息。 本文列出了权限管理 UI 中显示的数据收集错误消息及其说明,以及建议的解决方案。

AWS_ACCESSADVISOR_COLLECTION_ERROR

此帐户无权查看 Service Last Accessed

建议的解决方案

  • 验证是否已使用管理帐户凭据登录。 AWS 帐户必须具有有权生成、获取或列出 ServiceLastAccessDetails 或等效权限的策略。
  • 在 AWS 管理控制台中,验证是否在组织根中启用了服务控制策略 (SCP)。

AWS_CLOUDTRAIL_DISABLED

AWS 环境未配置 CloudTrail,或者你无权访问 CloudTrail。

建议的解决方案

创建 AWS 帐户时,将会自动创建 CloudTrail。

要访问:

  • 验证是否已使用管理帐户凭据登录。
  • 在 AWS 组织中启用 CloudTrail 作为受信任的服务。
  • 确保 AWS 帐户具有 CloudTrail 托管策略 AWSCloudTrail_FullAccessAWSCloudTrail_ReadOnlyAccess 或已被授予等效权限。

AWS_CLOUDTRAIL_S3_ACCESS_DENIED

此帐户无权访问 S3 Bucket CloudTrail 日志。

建议的解决方案

要尝试的步骤:

  • 验证是否已使用管理帐户凭据登录。
  • 在 AWS 组织中启用 CloudTrail 作为受信任的服务。
  • AWS 帐户必须具有 CloudTrail 托管策略 AWSCloudTrail_FullAccess 或已被授予等效权限。
  • 对于跨帐户访问,每个帐户必须具有 IAM 角色,以及授予访问权限的访问策略。
  • CloudTrail 必须具有将日志文件传送到 S3 存储桶所需的权限,并且将更新 S3 存储桶策略以接收和存储日志文件。

AWS_LDAP_CREDENTIALS_INVALID

LDAP 凭据无效。

建议的解决方案

验证域控制器上的硬盘驱动器是否未满。

AWS_LDAP_UNREACHABLE

尝试访问 LDAP 服务时连接失败。

建议的解决方案

此问题常见于用于启用 LDAPS 的 AWS 托管 Microsoft AD 连接器。 验证 AD 连接器是否可以通过 TCP 和 UDP 使用 88 (Kerberos) 和 389 (LDAP) 端口进行通信。

AWS_SYSTEM_ROLE_POLICIES_COLLECTION_ERROR

收集系统角色策略时出错。

建议的解决方案

如果系统角色策略包括服务控制策略 (SCP),请验证是否已使用管理帐户凭据登录。 AWS 帐户必须具有显示策略详细信息和附加实体所需的权限。

ERROR_GCP_PROJECT_MIN_PERMISSION

项目权限不足。

建议的解决方案

验证是否已向你授予正确的 IAM 角色或具有等效权限的角色,可授予对项目的访问权限:组织管理员安全管理员项目 IAM 管理员

ERROR_NO_IDENTIFIER_URIS_IN_APP

没有为应用配置标识符 URI。

建议的解决方案

  • 验证门户中已配置的标识符 URI 的应用程序配置。
  • 检查 Microsoft Entra 应用程序的清单文件。

后续步骤