Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risoluzione dei problemi Gestione dei segreti AWS
Utilizza le informazioni contenute in questa pagina per diagnosticare e risolvere i problemi che possono verificarsi durante l'utilizzo di ruoli con Secrets Manager.
Per i problemi relativi alla rotazione, consulta [Risolvi i problemi Gestione dei segreti AWS di rotazione](troubleshoot_rotation.md).
**Topics**
+ [Messaggi di «Accesso negato»](#troubleshoot_general_access-denied-service)
+ [“Accesso negato” per le credenziali di sicurezza temporanee](#troubleshoot_general_access-denied-temp-creds)
+ [Le modifiche apportate non sono sempre immediatamente visibili.](#troubleshoot_general_eventual-consistency)
+ [“Impossibile generare una chiave dati con una chiave KMS asimmetrica” durante la creazione di un segreto](#asymmetrical-key)
+ [Un'operazione AWS CLI o AWS SDK non riesce a trovare il mio segreto da un ARN parziale](#ARN_secretnamehyphen)
+ [Questo segreto è gestito da un AWS servizio ed è necessario utilizzare tale servizio per aggiornarlo.](#troubleshoot-service-linked-secrets)
+ [L'importazione del modulo Python fallisce quando si utilizza `Transform: AWS::SecretsManager-2024-09-16`](#troubleshoot-python-import)
## Messaggi di «Accesso negato»
Quando effettui una chiamata API come GetSecretValue o CreateSecret verso Secrets Manager, devi disporre delle autorizzazioni IAM per effettuare quella chiamata. Quando usi la console, la console effettua le stesse chiamate API per tuo conto, quindi devi disporre anche delle autorizzazioni IAM. Un amministratore può concedere le autorizzazioni allegando una policy IAM al tuo utente IAM o a un gruppo di cui sei membro. Se le dichiarazioni politiche che concedono tali autorizzazioni includono condizioni, ad time-of-day esempio restrizioni relative all'indirizzo IP, devi soddisfare anche tali requisiti al momento dell'invio della richiesta. Per informazioni sulla visualizzazione o sulla modifica delle policy per un ruolo, un gruppo o un utente IAM, consulta [Lavorare con le policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) nella *Guida per l'utente di IAM*. Per informazioni sulle autorizzazioni richieste per Secrets Manager, consulta [Autenticazione e controllo degli accessi per Gestione dei segreti AWS](auth-and-access.md).
Se stai firmando le richieste API manualmente, senza utilizzare il [AWS SDKs](https://aws.amazon.com/tools/), verifica di aver [firmato correttamente la richiesta](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html).
## “Accesso negato” per le credenziali di sicurezza temporanee
Verifica che l'utente o il ruolo IAM utilizzato per effettuare la richiesta disponga delle autorizzazioni corrette. Autorizzazioni per credenziali di sicurezza temporanee derivano da un utente o ruolo IAM. Questo significa che le autorizzazioni sono limitate a quelle concesse al ruolo o all'utente IAM. Per ulteriori informazioni su come sono determinate le autorizzazioni per le credenziali di sicurezza provvisorie, consulta [controllo delle autorizzazioni per le credenziali di sicurezza provvisorie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access.html) nella *Guida IAM per lo sviluppatore*.
Verifica che le richieste vengano firmate correttamente e che il formato della richiesta sia valido. Per i dettagli, consulta la documentazione del [toolkit](https://aws.amazon.com/tools/) per l'SDK scelto o [Using Temporary Security Credentials to Request Access to AWS Resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) nella *IAM* User Guide.
Verifica che le credenziali di sicurezza provvisorie non siano scadute. Per ulteriori informazioni, consulta [Richiesta di credenziali di sicurezza provvisorie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html) nella *Guida per l'utente di IAM*.
Per informazioni sulle autorizzazioni richieste per Secrets Manager, consulta [Autenticazione e controllo degli accessi per Gestione dei segreti AWS](auth-and-access.md).
## Le modifiche apportate non sono sempre immediatamente visibili.
Secrets Manager utilizza un modello di calcolo distribuito chiamato [consistenza finale](https://wikipedia.org/wiki/Eventual_consistency). Qualsiasi modifica apportata in Secrets Manager (o in altri AWS servizi) richiede tempo per diventare visibile da tutti gli endpoint possibili. Alcuni dei ritardi sono dovuti al tempo necessario per inviare i dati da un server a un altro, da una zona di replica a un'altra e da una regione a un'altra nel mondo. Secrets Manager utilizza inoltre la memorizzazione nella cache per migliorare le prestazioni, è possibile che ciò aumenti il tempo. in quanto la modifica potrebbe risultare visibile solo dopo il timeout dei dati memorizzati nella cache.
Progetta le tue applicazioni globali in modo da considerare questi potenziali ritardi e assicurati che funzionino come previsto, anche quando una modifica apportata in una posizione non è immediatamente visibile in un'altra.
Per ulteriori informazioni su come alcuni altri AWS servizi sono influenzati dall'eventuale coerenza, consulta:
+ [Gestione della consistenza dei dati](https://docs.aws.amazon.com/redshift/latest/dg/managing-data-consistency.html) nella *Guida per sviluppatori di Amazon Redshift Database*
+ [Modello di consistenza dati di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Introduction.html#ConsistencyModel) nella *Guida per l'utente di Amazon Simple Storage Service*
+ [Garantire la consistenza quando si utilizzano Amazon S3 e Amazon EMR per flussi di lavoro ETL](https://aws.amazon.com/blogs/big-data/ensuring-consistency-when-using-amazon-s3-and-amazon-elastic-mapreduce-for-etl-workflows/) nel blog dei Big Data AWS .
+ [Consistenza finale Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/query-api-troubleshooting.html#eventual-consistency) nella *Riferimento all'API di Amazon EC2*
## “Impossibile generare una chiave dati con una chiave KMS asimmetrica” durante la creazione di un segreto
Secrets Manager utilizza una [chiave KMS di crittografia simmetrica](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#symmetric-cmks) associata a un segreto per generare una chiave di dati per ogni valore del segreto. Non puoi utilizzare una chiave KMS asimmetrica. Verifica di utilizzare una chiave KMS di crittografia simmetrica anziché una chiave KMS asimmetrica. Per le istruzioni, consulta [Individuazione delle chiavi KMS asimmetriche](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html).
## Un'operazione AWS CLI o AWS SDK non riesce a trovare il mio segreto da un ARN parziale
In molti casi, Secrets Manager può trovare il segreto da una parte di un ARN anziché dall'ARN completo. Tuttavia, se il nome del tuo segreto termina con un trattino seguito da sei caratteri, Secrets Manager potrebbe non essere in grado di individuare il segreto da una sola parte di un ARN. Invece, ti consigliamo di utilizzare l'ARN completo o il nome del segreto.
**Ulteriori dettagli**
Secrets Manager include sei caratteri casuali alla fine del nome del segreto per garantire che l'ARN del segreto sia univoco. Se il segreto originale viene eliminato e quindi viene creato un nuovo segreto con lo stesso nome, i due segreti sono diversi a ARNs causa di questi caratteri. Gli utenti con accesso al vecchio segreto non ottengono automaticamente l'accesso al nuovo segreto perché ARNs sono diversi.
Secrets Manager costruisce un ARN per un segreto con Regione, account, nome segreto e poi un trattino e altri sei caratteri, come segue:
```
arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef
```
Se il tuo nome segreto termina con un trattino e sei caratteri, l'utilizzo di una sola parte dell'ARN può apparire in Secrets Manager come se si stesse specificando un ARN completo. Ad esempio, potresti avere un segreto denominato `MySecret-abcdef` con l'ARN
`arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef-nutBrk`
Se si chiama la seguente operazione, che utilizza solo una parte dell'ARN segreto, Secrets Manager potrebbe non trovare il segreto.
```
$ aws secretsmanager describe-secret --secret-id arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef
```
## Questo segreto è gestito da un AWS servizio ed è necessario utilizzare tale servizio per aggiornarlo.
Se questo messaggio viene visualizzato mentre provi a modificare un segreto, il segreto potrà essere aggiornato solo utilizzando il servizio di gestione riportato nel messaggio. Per ulteriori informazioni, consulta [Gestione dei segreti AWS segreti gestiti da altri AWS servizi](service-linked-secrets.md).
Per determinare chi gestisce un segreto, puoi rivedere il nome del segreto. I segreti gestiti da altri servizi sono preceduti dall'ID di quel servizio. Oppure, chiama [describe-secret AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html), quindi esamina il campo. `OwningService`
## L'importazione del modulo Python fallisce quando si utilizza `Transform: AWS::SecretsManager-2024-09-16`
Se stai usando Transform: `AWS::SecretsManager-2024-09-16` e riscontri errori di importazione del modulo Python durante l'esecuzione della funzione Lambda di rotazione, il problema è probabilmente causato da un valore incompatibile. `Runtime` Con questa versione di trasformazione, AWS CloudFormation gestisce automaticamente la versione di runtime, il codice e i file di oggetti condivisi. Non è necessario gestirli da soli.