Risoluzione dei problemi AWS Secrets Manager - AWS Secrets Manager
Messaggi di «Accesso negato»“Accesso negato” per le credenziali di sicurezza temporaneeLe modifiche apportate non sono sempre immediatamente visibili.«Impossibile generare una chiave dati con una chiave asimmetrica» durante la creazione di un KMS segretoUn' AWS SDKoperazione AWS CLI OR non riesce a trovare il mio segreto da un parziale ARNQuesto segreto è gestito da un AWS servizio ed è necessario utilizzare tale servizio per aggiornarlo.L'importazione del modulo Python fallisce quando si utilizza Transform: AWS::SecretsManager-2024-09-16

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi AWS Secrets Manager

Utilizza le informazioni contenute in questa pagina per diagnosticare e risolvere i problemi che possono verificarsi durante l'utilizzo di ruoli con Secrets Manager.

Per i problemi relativi alla rotazione, consulta Risolvi i problemi AWS Secrets Manager di rotazione.

Messaggi di «Accesso negato»

Quando si effettua una API chiamata come GetSecretValue o CreateSecret verso Secrets Manager, è necessario disporre IAM delle autorizzazioni necessarie per effettuare tale chiamata. Quando utilizzate la console, la console effettua le stesse API chiamate per vostro conto, quindi dovete disporre anche delle IAM autorizzazioni. Un amministratore può concedere le autorizzazioni allegando una IAM policy al tuo IAM utente o a un gruppo di cui sei membro. Se le dichiarazioni politiche che concedono tali autorizzazioni includono condizioni, ad time-of-day esempio restrizioni relative all'indirizzo IP, devi soddisfare anche tali requisiti al momento dell'invio della richiesta. Per informazioni sulla visualizzazione o la modifica delle politiche per un IAM utente, un gruppo o un ruolo, consulta Utilizzo delle politiche nella Guida per l'IAMutente. Per informazioni sulle autorizzazioni richieste per Secrets Manager, consulta Autenticazione e controllo degli accessi per AWS Secrets Manager.

Se stai firmando API le richieste manualmente, senza utilizzare il AWS SDKs, verifica di aver firmato correttamente la richiesta.

“Accesso negato” per le credenziali di sicurezza temporanee

Verifica che l'utente o il ruolo IAM utilizzato per effettuare la richiesta disponga delle autorizzazioni corrette. Autorizzazioni per credenziali di sicurezza temporanee derivano da un utente o ruolo IAM. Questo significa che le autorizzazioni sono limitate a quelle concesse al ruolo o all'utente IAM. Per ulteriori informazioni su come vengono determinate le autorizzazioni per le credenziali di sicurezza temporanee, vedi Controllo delle autorizzazioni per le credenziali di sicurezza temporanee nella Guida per l'utente. IAM

Verifica che le richieste vengano firmate correttamente e che il formato della richiesta sia valido. Per i dettagli, consulta la documentazione del toolkit prescelto SDK o Utilizzo delle credenziali di sicurezza temporanee per richiedere l'accesso alle risorse nella Guida per AWS l'utente. IAM

Verifica che le credenziali di sicurezza provvisorie non siano scadute. Per ulteriori informazioni, consulta Richiesta di credenziali di sicurezza temporanee nella Guida per l'utente. IAM

Per informazioni sulle autorizzazioni richieste per Secrets Manager, consulta Autenticazione e controllo degli accessi per AWS Secrets Manager.

Le modifiche apportate non sono sempre immediatamente visibili.

Secrets Manager utilizza un modello di calcolo distribuito chiamato consistenza finale. Qualsiasi modifica apportata in Secrets Manager (o in altri AWS servizi) richiede tempo per diventare visibile da tutti gli endpoint possibili. Alcuni dei ritardi sono dovuti al tempo necessario per inviare i dati da un server a un altro, da una zona di replica a un'altra e da una regione a un'altra nel mondo. Secrets Manager utilizza inoltre la memorizzazione nella cache per migliorare le prestazioni, è possibile che ciò aumenti il tempo. in quanto la modifica potrebbe risultare visibile solo dopo il timeout dei dati memorizzati nella cache.

Progetta le tue applicazioni globali in modo da considerare questi potenziali ritardi e assicurati che funzionino come previsto, anche quando una modifica apportata in una posizione non è immediatamente visibile in un'altra.

Per ulteriori informazioni su come alcuni altri AWS servizi sono influenzati dall'eventuale coerenza, consulta:

«Impossibile generare una chiave dati con una chiave asimmetrica» durante la creazione di un KMS segreto

Secrets Manager utilizza una KMSchiave di crittografia simmetrica associata a un segreto per generare una chiave dati per ogni valore segreto. Non è possibile utilizzare una chiave KMS asimmetrica. Verifica di utilizzare una chiave di crittografia simmetrica anziché una KMS chiave asimmetrica. KMS Per istruzioni, consulta Identificazione delle chiavi asimmetriche. KMS

Un' AWS SDKoperazione AWS CLI OR non riesce a trovare il mio segreto da un parziale ARN

In molti casi, Secrets Manager è in grado di trovare il tuo segreto partendo da una ARN pagina piuttosto che integralmenteARN. Tuttavia, se il nome del tuo segreto termina con un trattino seguito da sei caratteri, Secrets Manager potrebbe non essere in grado di trovare il segreto solo da una parte di unARN. Ti consigliamo invece di utilizzare il nome completo ARN o il nome del segreto.

Ulteriori dettagli

Secrets Manager include sei caratteri casuali alla fine del nome segreto per garantire che il segreto ARN sia unico. Se il segreto originale viene eliminato e quindi viene creato un nuovo segreto con lo stesso nome, i due segreti sono diversi a ARNs causa di questi caratteri. Gli utenti con accesso al vecchio segreto non ottengono automaticamente l'accesso al nuovo segreto perché ARNs sono diversi.

Secrets Manager crea un ARN per un segreto con regione, account, nome segreto, quindi un trattino e altri sei caratteri, come segue:

arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef

Se il nome segreto termina con un trattino e sei caratteri, utilizzarne solo una parte ARN può apparire a Secrets Manager come se stessi specificando un numero completo. ARN Ad esempio, potresti avere un segreto denominato MySecret-abcdef con ARN

arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef-nutBrk

Se richiami la seguente operazione, che utilizza solo una parte del segretoARN, Secrets Manager potrebbe non trovare il segreto. 

$ aws secretsmanager describe-secret --secret-id arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef

Questo segreto è gestito da un AWS servizio ed è necessario utilizzare tale servizio per aggiornarlo.

Se questo messaggio viene visualizzato mentre provi a modificare un segreto, il segreto potrà essere aggiornato solo utilizzando il servizio di gestione riportato nel messaggio. Per ulteriori informazioni, consulta AWS Secrets Manager segreti gestiti da altri AWS servizi.

Per determinare chi gestisce un segreto, puoi rivedere il nome del segreto. I segreti gestiti da altri servizi sono preceduti dall'ID di quel servizio. Oppure, chiama describe-secret AWS CLI, quindi esamina il campo. OwningService

L'importazione del modulo Python fallisce quando si utilizza Transform: AWS::SecretsManager-2024-09-16

Se stai usando Transform: AWS::SecretsManager-2024-09-16 e riscontri errori di importazione del modulo Python durante l'esecuzione della funzione Lambda di rotazione, il problema è probabilmente causato da un valore incompatibile. Runtime Con questa versione di trasformazione, AWS CloudFormation gestisce automaticamente la versione di runtime, il codice e i file di oggetti condivisi. Non è necessario gestirli da soli.