As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Solução de problemas AWS Secrets Manager
Use estas informações para ajudá-lo a diagnosticar e corrigir problemas que você venha a encontrar ao trabalhar com o Secrets Manager.
Para problemas relacionados à alternância, consulte [Solucionar problemas de rotação AWS Secrets Manager](troubleshoot_rotation.md).
**Topics**
+ [Mensagens de "Acesso negado"](#troubleshoot_general_access-denied-service)
+ ["Access denied" (Acesso negado) para credenciais de segurança temporárias](#troubleshoot_general_access-denied-temp-creds)
+ [As alterações que faço nem sempre ficam imediatamente visíveis.](#troubleshoot_general_eventual-consistency)
+ [“Cannot generate a data key with an asymmetric KMS key” (Não é possível gerar uma chave de dados com uma chave do KMS assimétrica) ao criar um segredo](#asymmetrical-key)
+ [Uma operação AWS do SDK AWS CLI ou não consegue encontrar meu segredo em um ARN parcial](#ARN_secretnamehyphen)
+ [Esse segredo é gerenciado por um AWS serviço e você deve usar esse serviço para atualizá-lo.](#troubleshoot-service-linked-secrets)
+ [A importação do módulo Python falha ao usar `Transform: AWS::SecretsManager-2024-09-16`](#troubleshoot-python-import)
## Mensagens de "Acesso negado"
Ao fazer uma chamada de API, como GetSecretValue ou CreateSecret para o Secrets Manager, você precisa ter permissões do IAM para fazer essa chamada. Quando você usa o console, ele faz as mesmas chamadas de API em seu nome, então você também precisa ter permissões do IAM. Um administrador pode conceder permissões anexando uma política do IAM ao seu usuário do IAM ou a um grupo do qual você faz parte. Se as declarações de política que concedem essas permissões incluírem quaisquer condições, como time-of-day restrições de endereço IP, você também deverá atender a esses requisitos ao enviar a solicitação. Para obter informações sobre como visualizar ou modificar políticas para um usuário, grupo ou perfil do IAM, consulte [Trabalho com políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) no *Manual do usuário do IAM*. Para obter mais informações sobre as permissões necessárias para o Secrets Manager, consulte [Autenticação e controle de acesso para AWS Secrets Manager](auth-and-access.md).
Se você estiver assinando solicitações de API manualmente, sem usar o [AWS SDKs](https://aws.amazon.com/tools/), verifique se [assinou corretamente a solicitação](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html).
## "Access denied" (Acesso negado) para credenciais de segurança temporárias
Verifique se o usuário ou o perfil do IAM que você está usando para fazer a solicitação tem as permissões corretas. As permissões de credenciais de segurança temporárias são originárias de um usuário ou perfil do IAM. Isso significa que as permissões são limitadas às concedidas ao usuário ou perfil do IAM. Para obter mais informações sobre como as permissões de credenciais de segurança temporárias são determinadas, consulte [Controlar permissões para credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access.html) no *Manual do usuário do IAM*.
Verifique se suas solicitações são assinadas corretamente e bem-formada. Para obter detalhes, consulte a documentação do [kit de ferramentas](https://aws.amazon.com/tools/) do SDK escolhido ou [Como usar credenciais de segurança temporárias para solicitar acesso aos AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) no Guia do usuário do *IAM*.
Verifique se suas credenciais de segurança temporárias não expiraram. Para obter mais informações, consulte [Solicitação de credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html) no *Manual do usuário do IAM*.
Para obter mais informações sobre as permissões necessárias para o Secrets Manager, consulte [Autenticação e controle de acesso para AWS Secrets Manager](auth-and-access.md).
## As alterações que faço nem sempre ficam imediatamente visíveis.
O Secret Manager usa um modelo de computação distribuído chamado [consistência eventual](https://wikipedia.org/wiki/Eventual_consistency). Qualquer alteração que você fizer no Secrets Manager (ou em outros AWS serviços) leva tempo para se tornar visível em todos os endpoints possíveis. Parte do atraso resulta do tempo necessário para enviar os dados de um servidor para outro, de uma zona de replicação para outra e de uma região para outra em todo o mundo. O Secrets Manager também usa armazenamento em cache para melhorar a performance. Porém, em alguns casos, isso pode aumentar o tempo. A alteração talvez não fique visível enquanto os dados armazenados em cache anteriormente não atingirem o tempo limite.
Projete seus aplicações globais levando em conta esses possíveis atrasos. Além disso, garanta o funcionamento esperado, mesmo quando uma alteração feita em um local não fique imediatamente visível em outro.
Para obter mais informações sobre como alguns outros AWS serviços são afetados pela consistência eventual, consulte:
+ [Gerenciamento da consistência de dados](https://docs.aws.amazon.com/redshift/latest/dg/managing-data-consistency.html) no *Guia do desenvolvedor do banco de dados do Amazon Redshift*
+ [Modelo de consistência de dados do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Introduction.html#ConsistencyModel) no *Manual do usuário do Amazon Simple Storage Service*
+ [Garantir consistência ao usar o Amazon S3 e o Amazon EMR para fluxos de trabalho de ETL](https://aws.amazon.com/blogs/big-data/ensuring-consistency-when-using-amazon-s3-and-amazon-elastic-mapreduce-for-etl-workflows/) no blog sobre big data da AWS
+ [Consistência final do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/query-api-troubleshooting.html#eventual-consistency) na *Referência de API do Amazon EC2*
## “Cannot generate a data key with an asymmetric KMS key” (Não é possível gerar uma chave de dados com uma chave do KMS assimétrica) ao criar um segredo
O Secrets Manager usa uma [chave de criptografia simétrica do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#symmetric-cmks) associada a um segredo para gerar uma chave de dados para cada valor de segredo. Não é possível usar uma chave do KMS assimétrica. Verifique se você está usando uma chave de criptografia do KMS simétrica em vez de uma chave do KMS assimétrica. Para obter instruções, consulte [Identificação de chaves do KMS assimétricas](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html).
## Uma operação AWS do SDK AWS CLI ou não consegue encontrar meu segredo em um ARN parcial
Em muitos casos, o Secrets Manager pode encontrar seu segredo com parte de um ARN em vez do ARN completo. No entanto, se o nome do seu segredo terminar com um hífen seguido de seis caracteres, talvez o Secrets Manager não consiga encontrar o segredo exclusivamente com base em uma parte de um ARN. Em vez disso, recomendamos que você use o ARN completo ou o nome do segredo.
**Mais detalhes**
O Secrets Manager inclui seis caracteres aleatórios ao final do nome do segredo para ajudar a garantir que o ARN do segredo seja único. Se o segredo original for excluído e um novo segredo for criado com o mesmo nome, os dois segredos serão diferentes ARNs por causa desses caracteres. Os usuários com acesso ao segredo antigo não obtêm acesso automático ao novo segredo porque ARNs são diferentes.
O Secrets Manager cria um ARN para um segredo com a região, conta, nome do segredo e, em seguida, um hífen e mais seis caracteres, da seguinte forma:
```
arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef
```
Se o nome do segredo terminar com um hífen e seis caracteres, usar apenas parte do ARN pode dar a impressão para o Secrets Manager de que você está especificando um ARN completo. Por exemplo, é possível ter um segredo nomeado `MySecret-abcdef` com o ARN
`arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef-nutBrk`
Se você chamar a seguinte operação, que usa apenas parte do ARN do segredo, talvez o Secrets Manager não encontre o segredo.
```
$ aws secretsmanager describe-secret --secret-id arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef
```
## Esse segredo é gerenciado por um AWS serviço e você deve usar esse serviço para atualizá-lo.
Se você encontrar essa mensagem ao tentar modificar um segredo, o segredo só poderá ser atualizado usando o serviço de gerenciamento listado na mensagem. Para obter mais informações, consulte [AWS Secrets Manager segredos gerenciados por outros AWS serviços](service-linked-secrets.md).
Para determinar quem gerencia um segredo, é possível revisar o nome do segredo. Os segredos gerenciados por outros serviços são prefixados com o ID do respectivo serviço. Ou, no AWS CLI, chame [describe-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html) e revise o campo. `OwningService`
## A importação do módulo Python falha ao usar `Transform: AWS::SecretsManager-2024-09-16`
Se você estiver usando Transform: `AWS::SecretsManager-2024-09-16` e encontrar falhas na importação do módulo Python quando sua função do Lambda de alternância é executada, o problema provavelmente é causado por um valor incompatível do `Runtime`. Com essa versão de transformação, o AWS CloudFormation gerencia a versão, o código e os arquivos de objetos compartilhados do runtime para você. Não é necessário implementar isso você mesmo.