Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes AWS Secrets Manager

Utilisez ces informations pour identifier et résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation des rôles Secrets Manager.

Pour les problèmes liés à la rotation, consultez Résoudre les problèmes de rotation AWS Secrets Manager.

Messages « Accès refusé »

Lorsque vous passez un API appel tel que GetSecretValue ou CreateSecret vers Secrets Manager, vous devez disposer des IAM autorisations nécessaires pour effectuer cet appel. Lorsque vous utilisez la console, celle-ci passe les mêmes API appels en votre nom. Vous devez donc également disposer d'IAMautorisations. Un administrateur peut accorder des autorisations en attachant une IAM politique à votre IAM utilisateur ou à un groupe dont vous êtes membre. Si les déclarations de politique qui accordent ces autorisations incluent des conditions, telles que time-of-day des restrictions d'adresse IP, vous devez également respecter ces exigences lorsque vous envoyez la demande. Pour plus d'informations sur l'affichage ou la modification des politiques IAM d'un utilisateur, d'un groupe ou d'un rôle, consultez la section Utilisation des politiques dans le guide de IAM l'utilisateur. Pour plus d'informations sur les autorisations requises pour Secrets Manager, veuillez consulter Authentification et contrôle d'accès pour AWS Secrets Manager.

Si vous signez des API demandes manuellement, sans utiliser le AWS SDKs, vérifiez que vous avez correctement signé la demande.

« Access denied » (« Accès refusé ») pour les informations d'identification de sécurité temporaires

Vérifiez que l'utilisateur ou le rôle IAM que vous utilisez pour effectuer la demande dispose des autorisations appropriées. Les autorisations pour les informations d'identification de sécurité temporaires sont dérivées d'un utilisateur ou d'un rôle IAM. Cela signifie que les autorisations sont limitées à celles qui sont accordées à l'utilisateur ou au rôle IAM. Pour plus d'informations sur la manière dont les autorisations relatives aux informations d'identification de sécurité temporaires sont déterminées, consultez la section Contrôle des autorisations pour les informations d'identification de sécurité temporaires dans le guide de IAM l'utilisateur.

Vérifiez que vos demandes sont signées correctement et que la demande est correctement formée. Pour plus de détails, consultez la documentation du kit d'outils de votre choix SDK ou l'utilisation d'identifiants de sécurité temporaires pour demander l'accès aux AWS ressources dans le guide de IAM l'utilisateur.

Vérifiez que vos informations d'identification de sécurité temporaires ne sont pas arrivées à expiration. Pour plus d'informations, consultez la section Demande d'informations d'identification de sécurité temporaires dans le guide de IAM l'utilisateur.

Pour plus d'informations sur les autorisations requises pour Secrets Manager, veuillez consulter Authentification et contrôle d'accès pour AWS Secrets Manager.

Les modifications que j'apporte ne sont pas toujours visibles immédiatement.

Secrets Manager utilise un modèle de calcul distribué appelé cohérence éventuelle (eventual consistency). Toute modification que vous apportez dans Secrets Manager (ou dans d'autres AWS services) met du temps à être visible depuis tous les points de terminaison possibles. Une partie du retard s'explique par le temps requis pour envoyer les données d'un serveur à un autre, d'une zone de réplication à une autre et d'une région à une autre dans le monde entier. Secrets Manager utilise également la mise en cache pour améliorer les performances mais, dans certains cas, cela peut ralentir le processus. La modification peut ne pas être visible tant que les données mises en cache précédemment n'arrivent pas à expiration.

Concevez vos applications globales de sorte qu'elles tiennent compte de ces retards potentiels. Assurez-vous également qu'elles fonctionnent comme prévu, même lorsqu'une modification effectuée à un emplacement n'est pas visible instantanément à un autre.

Pour plus d'informations sur la manière dont certains autres AWS services sont affectés par une éventuelle cohérence, voir :

« Impossible de générer une clé de données avec une KMS clé asymétrique » lors de la création d'un secret

Secrets Manager utilise une KMSclé de chiffrement symétrique associée à un secret pour générer une clé de données pour chaque valeur secrète. Vous ne pouvez pas utiliser de KMS clé asymétrique. Vérifiez que vous utilisez une clé de chiffrement symétrique au lieu d'une KMS clé asymétriqueKMS. Pour obtenir des instructions, reportez-vous à la section Identification des KMS clés asymétriques.

Une AWS SDK opération AWS CLI ou je ne trouve pas mon secret à partir d'une opération partielle ARN

Dans de nombreux cas, Secrets Manager peut trouver votre secret en partie ARN plutôt que dans son intégralitéARN. Toutefois, si le nom de votre secret se termine par un trait d'union suivi de six caractères, il se peut que Secrets Manager ne puisse pas le trouver uniquement dans une partie d'unARN. Nous vous recommandons plutôt d'utiliser le secret complet ARN ou le nom du secret.

Plus d'informations

Secrets Manager inclut six caractères aléatoires à la fin du nom du secret pour garantir son caractère unique. ARN Si le secret d'origine est supprimé, puis qu'un nouveau secret est créé avec le même nom, les deux secrets sont différents en ARNs raison de ces caractères. Les utilisateurs ayant accès à l'ancien secret n'ont pas automatiquement accès au nouveau secret car il ARNs est différent.

Secrets Manager construit un ARN pour un secret avec la région, le compte, le nom du secret, puis un trait d'union et six autres caractères, comme suit :

arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef

Si votre nom secret se termine par un tiret et six caractères, le fait de n'en utiliser qu'une partie ARN peut apparaître dans Secrets Manager comme si vous en spécifiiez un completARN. Par exemple, vous pouvez avoir un secret nommé MySecret-abcdef avec le ARN

arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef-nutBrk

Si vous appelez l'opération suivante, qui n'utilise qu'une partie du secretARN, il est possible que Secrets Manager ne le trouve pas.

$ aws secretsmanager describe-secret --secret-id arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef

Ce secret est géré par un AWS service, et vous devez utiliser ce service pour le mettre à jour.

Si ce message s'affiche alors que vous essayez de modifier un secret, celui-ci ne peut être mis à jour qu'à l'aide du service de gestion indiqué dans le message. Pour de plus amples informations, veuillez consulter AWS Secrets Manager secrets gérés par d'autres AWS services.

Pour déterminer qui gère un secret, vous pouvez vérifier le nom du secret. Les secrets gérés par d'autres services sont préfixés par l'ID de ce service. Ou, dans le AWS CLI, appelez describe-secret, puis passez en revue le champ. OwningService

L'importation du module Python échoue lors de l'utilisation Transform: AWS::SecretsManager-2024-09-16

Si vous utilisez Transform : AWS::SecretsManager-2024-09-16 et que vous rencontrez des échecs d'importation du module Python lors de l'exécution de votre fonction Lambda de rotation, le problème est probablement dû à une valeur incompatibleRuntime. Avec cette version de transformation, AWS CloudFormation gère pour vous la version d'exécution, le code et les fichiers d'objets partagés. Vous n'avez pas besoin de les gérer vous-même.