Pesan “Akses ditolak”“Akses ditolak” untuk kredensi keamanan sementara Perubahan yang saya buat tidak selalu langsung terlihat.“Tidak dapat menghasilkan kunci data dengan KMS kunci asimetris” saat membuat rahasia Sebuah AWS CLI atau AWS SDK operasi tidak dapat menemukan rahasia saya dari sebagian ARN Rahasia ini dikelola oleh AWS layanan, dan Anda harus menggunakan layanan itu untuk memperbaruinya.Impor modul Python gagal saat menggunakan Transform: AWS::SecretsManager-2024-09-16

Pemecahan masalah AWS Secrets Manager

Gunakan informasi di sini untuk membantu Anda mendiagnosis dan memperbaiki masalah yang mungkin Anda temui saat bekerja dengan Secrets Manager.

Untuk masalah yang terkait dengan rotasi, lihatMemecahkan masalah rotasi AWS Secrets Manager.

Topik

Pesan “Akses ditolak”
“Akses ditolak” untuk kredensi keamanan sementara
Perubahan yang saya buat tidak selalu langsung terlihat.
“Tidak dapat menghasilkan kunci data dengan KMS kunci asimetris” saat membuat rahasia
Sebuah AWS CLI atau AWS SDK operasi tidak dapat menemukan rahasia saya dari sebagian ARN
Rahasia ini dikelola oleh AWS layanan, dan Anda harus menggunakan layanan itu untuk memperbaruinya.
Impor modul Python gagal saat menggunakan Transform: AWS::SecretsManager-2024-09-16

Pesan “Akses ditolak”

Saat melakukan API panggilan seperti GetSecretValue atau CreateSecret ke Secrets Manager, Anda harus memiliki IAM izin untuk melakukan panggilan tersebut. Saat Anda menggunakan konsol, konsol melakukan API panggilan yang sama atas nama Anda, jadi Anda juga harus memiliki IAM izin. Administrator dapat memberikan izin dengan melampirkan IAM kebijakan ke IAM pengguna Anda, atau ke grup tempat Anda menjadi anggota. Jika pernyataan kebijakan yang memberikan izin tersebut mencakup kondisi apa pun, seperti time-of-day atau pembatasan alamat IP, Anda juga harus memenuhi persyaratan tersebut saat mengirim permintaan. Untuk informasi tentang melihat atau memodifikasi kebijakan untuk IAM pengguna, grup, atau peran, lihat Bekerja dengan Kebijakan di Panduan IAM Pengguna. Untuk informasi tentang izin yang diperlukan untuk Secrets Manager, lihatOtentikasi dan kontrol akses untuk AWS Secrets Manager.

Jika Anda menandatangani API permintaan secara manual, tanpa menggunakan AWS SDKs, verifikasi bahwa Anda menandatangani permintaan dengan benar.

“Akses ditolak” untuk kredensi keamanan sementara

Verifikasi IAM pengguna atau peran yang Anda gunakan untuk membuat permintaan memiliki izin yang benar. Izin untuk kredensi keamanan sementara berasal dari pengguna atau IAM peran. Ini berarti izin terbatas pada yang diberikan kepada IAM pengguna atau peran. Untuk informasi selengkapnya tentang cara izin untuk kredenial keamanan sementara ditentukan, lihat Mengontrol Izin untuk Kredensial Keamanan Sementara di Panduan Pengguna. IAM

Verifikasi bahwa permintaan Anda ditandatangani dengan benar dan permintaan tersebut terbentuk dengan baik. Untuk detailnya, lihat dokumentasi toolkit untuk pilihan AndaSDK, atau Menggunakan Kredensial Keamanan Sementara untuk Meminta Akses ke AWS Sumber Daya di Panduan Pengguna. IAM

Verifikasikan bahwa kredensial keamanan sementara Anda belum kedaluwarsa. Untuk informasi selengkapnya, lihat Meminta Kredensial Keamanan Sementara di Panduan Pengguna. IAM

Untuk informasi tentang izin yang diperlukan untuk Secrets Manager, lihatOtentikasi dan kontrol akses untuk AWS Secrets Manager.

Perubahan yang saya buat tidak selalu langsung terlihat.

Secrets Manager menggunakan model komputasi terdistribusi yang disebut konsistensi akhirnya. Setiap perubahan yang Anda buat di Secrets Manager (atau AWS layanan lainnya) membutuhkan waktu untuk terlihat dari semua titik akhir yang mungkin. Beberapa hasil penundaan dari waktu yang diperlukan untuk mengirim data dari server ke server, dari zona replikasi ke zona replikasi, dan dari wilayah ke wilayah di seluruh dunia. Secrets Manager juga menggunakan caching untuk meningkatkan kinerja, tetapi dalam beberapa kasus ini dapat menambah waktu. Perubahan mungkin tidak terlihat sampai waktu data yang disimpan di-cache sebelumnya habis.

Rancang aplikasi global Anda untuk memperhitungkan potensi penundaan ini. Juga, pastikan bahwa mereka bekerja seperti yang diharapkan, bahkan ketika perubahan yang dibuat di satu lokasi tidak langsung terlihat di lokasi lain.

Untuk informasi selengkapnya tentang bagaimana beberapa AWS layanan lain dipengaruhi oleh konsistensi akhirnya, lihat:

Mengelola konsistensi data dalam Panduan Pengembang Database Amazon Redshift
Model Konsistensi Data Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon
Memastikan Konsistensi Saat Menggunakan Amazon S3 dan Amazon EMR untuk ETL Alur Kerja di Blog Big Data AWS
Konsistensi EC2 Akhirnya Amazon dalam Referensi Amazon EC2 API

“Tidak dapat menghasilkan kunci data dengan KMS kunci asimetris” saat membuat rahasia

Secrets Manager menggunakan KMSkunci enkripsi simetris yang terkait dengan rahasia untuk menghasilkan kunci data untuk setiap nilai rahasia. Anda tidak dapat menggunakan KMS kunci asimetris. Pastikan Anda menggunakan KMS kunci enkripsi simetris alih-alih kunci asimetrisKMS. Untuk petunjuk, lihat Mengidentifikasi KMS kunci asimetris.

Sebuah AWS CLI atau AWS SDK operasi tidak dapat menemukan rahasia saya dari sebagian ARN

Dalam banyak kasus, Secrets Manager dapat menemukan rahasia Anda dari bagian yang ARN bukan penuhARN. Namun, jika nama rahasia Anda berakhir dengan tanda hubung diikuti oleh enam karakter, Secrets Manager mungkin tidak dapat menemukan rahasia hanya dari bagian dari sebuah. ARN Sebagai gantinya, kami sarankan Anda menggunakan lengkap ARN atau nama rahasianya.

Detail lebih lanjut

Secrets Manager menyertakan enam karakter acak di akhir nama rahasia untuk membantu memastikan bahwa ARN rahasianya unik. Jika rahasia asli dihapus, dan kemudian rahasia baru dibuat dengan nama yang sama, kedua rahasia berbeda ARNs karena karakter-karakter ini. Pengguna dengan akses ke rahasia lama tidak secara otomatis mendapatkan akses ke rahasia baru ARNs karena berbeda.

Secrets Manager membangun sebuah ARN for a secret dengan Region, akun, nama rahasia, dan kemudian tanda hubung dan enam karakter lainnya, sebagai berikut:


arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef

Jika nama rahasia Anda diakhiri dengan tanda hubung dan enam karakter, hanya menggunakan sebagian dari ARN kaleng muncul ke Secrets Manager seolah-olah Anda menentukan penuh. ARN Misalnya, Anda mungkin memiliki rahasia bernama MySecret-abcdef dengan ARN

arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef-nutBrk

Jika Anda memanggil operasi berikut, yang hanya menggunakan bagian dari rahasiaARN, maka Secrets Manager mungkin tidak menemukan rahasianya.


$ aws secretsmanager describe-secret --secret-id arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef

Rahasia ini dikelola oleh AWS layanan, dan Anda harus menggunakan layanan itu untuk memperbaruinya.

Jika Anda menemukan pesan ini saat mencoba memodifikasi rahasia, rahasia hanya dapat diperbarui dengan menggunakan layanan pengelolaan yang tercantum dalam pesan. Untuk informasi selengkapnya, lihat AWS Secrets Manager rahasia yang dikelola oleh AWS layanan lain.

Untuk menentukan siapa yang mengelola rahasia, Anda dapat meninjau nama rahasia. Rahasia yang dikelola oleh layanan lain diawali dengan ID layanan tersebut. Atau, di AWS CLI, panggil deskripsikan-rahasia, dan kemudian tinjau bidangnya. OwningService

Impor modul Python gagal saat menggunakan `Transform: AWS::SecretsManager-2024-09-16`

Jika Anda menggunakan Transform: AWS::SecretsManager-2024-09-16 dan mengalami kegagalan impor modul Python saat fungsi Lambda rotasi Anda berjalan, masalah kemungkinan disebabkan oleh nilai yang tidak kompatibel. Runtime Dengan versi transformasi ini, AWS CloudFormation mengelola versi runtime, kode, dan file objek bersama untuk Anda. Anda tidak perlu mengelolanya sendiri.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

TLS pasca-kuantum

Kuota