As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Solução de problemas AWS Secrets Manager
Use estas informações para ajudá-lo a diagnosticar e corrigir problemas que você venha a encontrar ao trabalhar com o Secrets Manager.
Para problemas relacionados à alternância, consulte Solucionar problemas de rotação AWS Secrets Manager.
Tópicos
- Mensagens de "Acesso negado"
- "Access denied" (Acesso negado) para credenciais de segurança temporárias
- As alterações que faço nem sempre ficam imediatamente visíveis.
- “Não é possível gerar uma chave de dados com uma chave assimétrica” ao criar um KMS segredo
- Uma AWS SDK operação AWS CLI ou não consegue encontrar meu segredo a partir de uma operação parcial ARN
- Esse segredo é gerenciado por um AWS serviço e você deve usar esse serviço para atualizá-lo.
- A importação do módulo Python falha ao usar Transform: AWS::SecretsManager-2024-09-16
Mensagens de "Acesso negado"
Quando você faz uma API chamada como GetSecretValue ou CreateSecret para o Secrets Manager, você deve ter IAM permissões para fazer essa chamada. Quando você usa o console, ele faz as mesmas API chamadas em seu nome, então você também deve ter IAM permissões. Um administrador pode conceder permissões anexando uma IAM política ao seu IAM usuário ou a um grupo do qual você é membro. Se as declarações de política que concedem essas permissões incluírem quaisquer condições, como time-of-day restrições de endereço IP, você também deverá atender a esses requisitos ao enviar a solicitação. Para obter informações sobre como visualizar ou modificar políticas para um IAM usuário, grupo ou função, consulte Como trabalhar com políticas no Guia do IAM usuário. Para obter mais informações sobre as permissões necessárias para o Secrets Manager, consulte Autenticação e controle de acesso para o AWS Secrets Manager.
Se você estiver assinando API solicitações manualmente, sem usar o AWS SDKs
"Access denied" (Acesso negado) para credenciais de segurança temporárias
Verifique se o usuário ou a função do IAM que você está usando para fazer a solicitação tem as permissões corretas. As permissões de credenciais de segurança temporárias derivam de um usuário ou função do IAM. Isso significa que as permissões são limitadas àquelas concedidas ao usuário ou função do IAM. Para obter mais informações sobre como as permissões para credenciais de segurança temporárias são determinadas, consulte Controle de permissões para credenciais de segurança temporárias no Guia do IAMusuário.
Verifique se suas solicitações são assinadas corretamente e bem-formada. Para obter detalhes, consulte a documentação do kit
Verifique se suas credenciais de segurança temporárias não expiraram. Para obter mais informações, consulte Solicitando credenciais de segurança temporárias no Guia do IAMusuário.
Para obter mais informações sobre as permissões necessárias para o Secrets Manager, consulte Autenticação e controle de acesso para o AWS Secrets Manager.
As alterações que faço nem sempre ficam imediatamente visíveis.
O Secret Manager usa um modelo de computação distribuído chamado consistência eventual
Projete seus aplicações globais levando em conta esses possíveis atrasos. Além disso, garanta o funcionamento esperado, mesmo quando uma alteração feita em um local não fique imediatamente visível em outro.
Para obter mais informações sobre como alguns outros AWS serviços são afetados pela consistência eventual, consulte:
-
Gerenciamento da consistência de dados no Guia do desenvolvedor do banco de dados do Amazon Redshift
-
Modelo de consistência de dados do Amazon S3 no Manual do usuário do Amazon Simple Storage Service
-
Garantindo a consistência ao usar o Amazon S3 e o Amazon EMR para ETL fluxos de trabalho no blog de
big data AWS -
Consistência EC2 eventual da Amazon na Amazon Reference EC2 API
“Não é possível gerar uma chave de dados com uma chave assimétrica” ao criar um KMS segredo
O Secrets Manager usa uma KMSchave de criptografia simétrica associada a um segredo para gerar uma chave de dados para cada valor secreto. Você não pode usar uma chave assimétricaKMS. Verifique se você está usando uma chave de criptografia simétrica em vez de uma KMS chave KMS assimétrica. Para obter instruções, consulte Identificação de chaves assimétricas KMS.
Uma AWS SDK operação AWS CLI ou não consegue encontrar meu segredo a partir de uma operação parcial ARN
Em muitos casos, o Secrets Manager pode descobrir seu segredo em parte e ARN não na íntegraARN. No entanto, se o nome do seu segredo terminar em um hífen seguido por seis caracteres, o Secrets Manager pode não conseguir encontrar o segredo apenas em parte de umARN. Em vez disso, recomendamos que você use o nome completo ARN ou o nome do segredo.
Mais detalhes
O Secrets Manager inclui seis caracteres aleatórios no final do nome secreto para ajudar a garantir que o segredo ARN seja único. Se o segredo original for excluído e, em seguida, um novo segredo for criado com o mesmo nome, os dois segredos serão diferentes ARNs por causa desses caracteres. Os usuários com acesso ao segredo antigo não obtêm acesso automático ao novo segredo porque ARNs são diferentes.
O Secrets Manager constrói um ARN para um segredo com região, conta, nome secreto e, em seguida, um hífen e mais seis caracteres, da seguinte forma:
arn:aws:secretsmanager:us-east-2:111122223333:secret:
SecretName
-abcdef
Se seu nome secreto terminar com um hífen e seis caracteres, usar apenas parte do ARN pode aparecer para o Secrets Manager como se você estivesse especificando um nome completo. ARN Por exemplo, você pode ter um segredo chamado MySecret-abcdef
com o ARN
arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef-nutBrk
Se você chamar a operação a seguir, que usa apenas parte do segredoARN, talvez o Secrets Manager não encontre o segredo.
$
aws secretsmanager describe-secret --secret-id
arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef
Esse segredo é gerenciado por um AWS serviço e você deve usar esse serviço para atualizá-lo.
Se você encontrar essa mensagem ao tentar modificar um segredo, o segredo só poderá ser atualizado usando o serviço de gerenciamento listado na mensagem. Para obter mais informações, consulte Segredos do AWS Secrets Manager gerenciados por outros produtos da AWS.
Para determinar quem gerencia um segredo, você pode revisar o nome do segredo. Os segredos gerenciados por outros serviços são prefixados com o ID do respectivo serviço. Ou, no AWS CLI, chame describe-secret e revise o campo. OwningService
A importação do módulo Python falha ao usar Transform:
AWS::SecretsManager-2024-09-16
Se você estiver usando o Transform: AWS::SecretsManager-2024-09-16
e encontrar falhas na importação do módulo Python quando sua função de rotação do Lambda é executada, o problema provavelmente é causado por um valor incompatível. Runtime
Com essa versão de transformação, AWS CloudFormation gerencia a versão em tempo de execução, o código e os arquivos de objetos compartilhados para você. Você não precisa gerenciá-los sozinho.