Meldungen mit dem Hinweis „Zugriff verweigert“„Access denied“ (Zugriff verweigert) für temporäre Sicherheitsanmeldeinformationen Änderungen, die ich vornehme, sind nicht immer direkt sichtbar.„Es kann kein Datenschlüssel mit einem asymmetrischen KMS Schlüssel generiert werden“, wenn ein Geheimnis erstellt wird Eine AWS CLIAWS SDK Oder-Operation kann mein Geheimnis nicht aus einem Teil herausfinden ARN Dieses Geheimnis wird von einem AWS Dienst verwaltet, und Sie müssen diesen Dienst verwenden, um es zu aktualisieren.Der Import des Python-Moduls schlägt fehl, wenn Transform: AWS::SecretsManager-2024-09-16

Problembehebung AWS Secrets Manager

Verwenden Sie die hier aufgeführten Informationen, um Probleme zu diagnostizieren und zu beheben, die beim Arbeiten mit dem Secrets Manager auftreten können.

Informationen zu Problemen im Zusammenhang mit der Drehung finden Sie unter Fehlerbehebung bei der AWS Secrets Manager Rotation.

Themen

Meldungen mit dem Hinweis „Zugriff verweigert“
„Access denied“ (Zugriff verweigert) für temporäre Sicherheitsanmeldeinformationen
Änderungen, die ich vornehme, sind nicht immer direkt sichtbar.
„Es kann kein Datenschlüssel mit einem asymmetrischen KMS Schlüssel generiert werden“, wenn ein Geheimnis erstellt wird
Eine AWS CLIAWS SDK Oder-Operation kann mein Geheimnis nicht aus einem Teil herausfinden ARN
Dieses Geheimnis wird von einem AWS Dienst verwaltet, und Sie müssen diesen Dienst verwenden, um es zu aktualisieren.
Der Import des Python-Moduls schlägt fehl, wenn Transform: AWS::SecretsManager-2024-09-16

Meldungen mit dem Hinweis „Zugriff verweigert“

Wenn Sie einen API Anruf wie GetSecretValue oder CreateSecret an Secrets Manager tätigen, müssen Sie über die IAM erforderlichen Berechtigungen verfügen, um diesen Anruf tätigen zu können. Wenn Sie die Konsole verwenden, tätigt die Konsole dieselben API Anrufe in Ihrem Namen, sodass Sie auch über die IAM entsprechenden Berechtigungen verfügen müssen. Ein Administrator kann Berechtigungen gewähren, indem er Ihrem IAM Benutzer oder einer Gruppe, der Sie angehören, eine IAM Richtlinie anhängt. Wenn die Richtlinienerklärungen, mit denen diese Berechtigungen erteilt werden, Bedingungen wie time-of-day IP-Adressbeschränkungen enthalten, müssen Sie diese Anforderungen auch erfüllen, wenn Sie die Anfrage senden. Informationen zum Anzeigen oder Ändern von Richtlinien für einen IAM Benutzer, eine Gruppe oder eine Rolle finden Sie im IAMBenutzerhandbuch unter Arbeiten mit Richtlinien. Informationen zu den für Secrets Manager erforderlichen Berechtigungen finden Sie unter Authentifizierung und Zugriffskontrolle für AWS Secrets Manager.

Wenn Sie API Anfragen manuell signieren, ohne das zu verwenden, überprüfen Sie AWS SDKs, ob Sie die Anfrage korrekt signiert haben.

„Access denied“ (Zugriff verweigert) für temporäre Sicherheitsanmeldeinformationen

Stellen Sie sicher, dass der IAM-Benutzer oder die Rolle, die Sie zum Erstellen der Anfrage verwenden, über die entsprechenden Berechtigungen verfügt. Berechtigungen für temporäre Sicherheitsanmeldeinformationen werden von einem IAM-Benutzer oder einer Rolle abgeleitet. Dies bedeutet, dass sich die Berechtigungen auf diejenigen beschränken, die dem IAM-Benutzer oder der Rolle erteilt wurden. Weitere Informationen dazu, wie die Berechtigungen für temporäre Sicherheitsanmeldeinformationen bestimmt werden, finden Sie im IAMBenutzerhandbuch unter Steuern von Berechtigungen für temporäre Sicherheitsanmeldeinformationen.

Stellen Sie sicher, dass Ihre Anfragen korrekt signiert sind und die Anfrage richtig aufgebaut ist. Weitere Informationen finden Sie in der Toolkit-Dokumentation für das von Ihnen gewählte SDK Produkt oder im IAMBenutzerhandbuch unter Verwendung temporärer Sicherheitsanmeldedaten zur Anforderung des Zugriffs auf AWS Ressourcen.

Stellen Sie sicher, dass die temporären Sicherheitsanmeldeinformationen nicht abgelaufen sind. Weitere Informationen finden Sie unter Temporäre Sicherheitsanmeldedaten anfordern im IAMBenutzerhandbuch.

Informationen zu den für Secrets Manager erforderlichen Berechtigungen finden Sie unter Authentifizierung und Zugriffskontrolle für AWS Secrets Manager.

Änderungen, die ich vornehme, sind nicht immer direkt sichtbar.

Secrets Manager verwendet ein verteiltes Computing-Modell namens letztendliche Konsistenz. Jede Änderung, die Sie in Secrets Manager (oder anderen AWS Diensten) vornehmen, dauert einige Zeit, bis sie von allen möglichen Endpunkten aus sichtbar wird. Die Verzögerung ergibt sich teilweise aus der Zeit, die erforderlich ist, um die Daten von Server zu Server, von Replikationszone zu Replikationszone und von einer Region der Welt in eine andere zu senden. Secrets Manager verwendet darüber hinaus Zwischenspeicherungen zur Verbesserung der Leistung, doch in einigen Fällen kann dies Zeit erfordern. Die Änderung ist möglicherweise erst sichtbar, wenn die Zeit für die vorher zwischengespeicherten Daten abgelaufen ist.

Entwickeln Sie Ihre globalen Anwendungen unter Berücksichtigung dieser potenziellen Verzögerungen. Stellen Sie darüber hinaus sicher, dass sie wie erwartet funktionieren, und zwar auch dann, wenn eine Änderung an einem Speicherort nicht sofort an einem anderen sichtbar ist.

Weitere Informationen darüber, wie sich die eventuelle Konsistenz auf einige andere AWS Dienste auswirkt, finden Sie unter:

Verwalten der Datenkonsistenz im Datenbankentwicklerhandbuch zu Amazon Redshift
Amazon-S3-Datenkonsistenzmodell im Benutzerhandbuch für Amazon Simple Storage Service
Sicherstellung der Konsistenz bei der Verwendung von Amazon S3 und Amazon EMR für ETL Workflows im AWS Big Data-Blog
EC2Eventual Consistency von Amazon in der Amazon-Referenz EC2 API

„Es kann kein Datenschlüssel mit einem asymmetrischen KMS Schlüssel generiert werden“, wenn ein Geheimnis erstellt wird

Secrets Manager verwendet einen symmetrischen KMS Verschlüsselungsschlüssel, der einem Geheimnis zugeordnet ist, um einen Datenschlüssel für jeden geheimen Wert zu generieren. Sie können keinen asymmetrischen KMS Schlüssel verwenden. Stellen Sie sicher, dass Sie einen symmetrischen KMS Verschlüsselungsschlüssel anstelle eines KMS asymmetrischen Schlüssels verwenden. Anweisungen finden Sie unter Asymmetrische KMS Schlüssel identifizieren.

Eine AWS CLIAWS SDK Oder-Operation kann mein Geheimnis nicht aus einem Teil herausfinden ARN

In vielen Fällen kann Secrets Manager Ihr Geheimnis nicht vollständig, ARN sondern nur teilweise herausfindenARN. Wenn der Name Ihres Geheimnisses jedoch mit einem Bindestrich gefolgt von sechs Zeichen endet, kann Secrets Manager das Geheimnis möglicherweise nicht nur aus einem Teil eines ARN finden. Stattdessen empfehlen wir, den vollständigen ARN oder den Namen des Geheimnisses zu verwenden.

Weitere Details

Secrets Manager enthält sechs zufällige Zeichen am Ende des geheimen Namens, um sicherzustellen, dass das Geheimnis einzigartig ARN ist. Wenn das ursprüngliche Geheimnis gelöscht und anschließend ein neues Geheimnis mit demselben Namen erstellt wird, unterscheiden sich die beiden Geheimnisse ARNs aufgrund dieser Zeichen. Benutzer mit Zugriff auf das alte Geheimnis erhalten nicht automatisch Zugriff auf das neue Geheimnis, da sie unterschiedlich ARNs sind.

Secrets Manager erstellt ein ARN für ein Geheimnis mit Region, Konto, Geheimnamen und dann einem Bindestrich und sechs weiteren Zeichen, wie folgt:


arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef

Wenn Ihr geheimer Name mit einem Bindestrich und sechs Zeichen endet, ARN kann es für Secrets Manager so aussehen, als ob Sie einen vollständigen ARN Namen angeben würden, wenn Sie nur einen Teil davon verwenden. Beispielsweise könnten Sie ein Geheimnis MySecret-abcdef mit dem Namen haben ARN

arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef-nutBrk

Wenn Sie die folgende Operation aufrufen, die nur einen Teil des Geheimnisses verwendetARN, findet Secrets Manager das Geheimnis möglicherweise nicht.


$ aws secretsmanager describe-secret --secret-id arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef

Dieses Geheimnis wird von einem AWS Dienst verwaltet, und Sie müssen diesen Dienst verwenden, um es zu aktualisieren.

Wenn Sie beim Versuch, ein Geheimnis zu ändern, auf diese Meldung stoßen, kann das Geheimnis nur mithilfe des in der Meldung aufgeführten Verwaltungsservices aktualisiert werden. Weitere Informationen finden Sie unter AWS Secrets Manager Geheimnisse, die von anderen AWS Diensten verwaltet werden.

Um festzustellen, wer ein Geheimnis verwaltet, können Sie den Namen des Geheimnisses überprüfen. Bei Geheimnissen, die von anderen Services verwaltet werden, wird die ID des jeweiligen Services vorangestellt. Oder rufen Sie im AWS CLIdescribe-secret auf und überprüfen Sie dann das Feld. OwningService

Der Import des Python-Moduls schlägt fehl, wenn `Transform: AWS::SecretsManager-2024-09-16`

Wenn Sie Transform: verwenden AWS::SecretsManager-2024-09-16 und bei der Ausführung Ihrer Rotations-Lambda-Funktion auf Fehler beim Import des Python-Moduls stoßen, wird das Problem wahrscheinlich durch einen inkompatiblen Runtime Wert verursacht. Mit dieser Transform-Version werden die Laufzeitversion, der Code und die gemeinsam genutzten Objektdateien für Sie AWS CloudFormation verwaltet. Sie müssen diese nicht selbst verwalten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Post-Quantum-TLS

Kontingente