本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 對 AWS Secrets Manager 複寫進行故障診斷
<a name="replicate-secrets_troubleshoot"></a>

AWS Secrets Manager 複寫可能會因為各種原因而失敗。若要檢查秘密無法複寫的原因，您可以執行下列其中一項操作：
+ 呼叫 `DescribeSecret` API 操作
+ 檢閱 AWS CloudTrail 事件

當複寫失敗時：
+ 如果沒有可用的秘密版本，Secrets Manager 會從複本區域移除秘密。
+ 如果成功複寫秘密版本，它們會保留在複本區域中，直到您使用 `RemoveRegionsFromReplication` API 操作明確移除它們為止。

下列各節說明複寫失敗的一些常見原因。

## 選取的區域中存在具有相同名稱的秘密。
<a name="w2aac17c33c13"></a>

若要解決此問題，您可以覆寫複本區域中的重複名稱機密。重試複寫，接著在**重試複寫**對話方塊中，選擇**覆寫**。

## KMS 金鑰上沒有可用的許可來完成複寫
<a name="w2aac17c33c15"></a>

Secrets Manager 會先解密秘密，然後再使用複本區域中的新 KMS 金鑰重新加密。如果您沒有主要區域中的加密金鑰的 `kms:Decrypt` 許可，則會遇到此錯誤。要使用 KMS 密鑰以外的密鑰加密複製的秘密`aws/secretsmanager`，你需要 `kms:GenerateDataKey` 和 `kms:Encrypt` 密鑰。請參閱 [KMS 金鑰的許可](security-encryption.md#security-encryption-authz)。

## KMS 金鑰已停用或找不到 KMS 金鑰
<a name="w2aac17c33c17"></a>

如果主要區域中的加密金鑰已停用或已刪除，Secret Manager 就無法複寫秘密。如果秘密具有使用已停用或已刪除的加密金鑰進行加密的[自訂標記版本](whats-in-a-secret.md#term_version)，則即便您已變更加密金鑰，仍可能發生此錯誤。如需 Secrets Manager 如何加密的相關資訊，請參閱 [中的秘密加密和解密 AWS Secrets Manager](security-encryption.md)。若要解決這個問題，您可以重新建立秘密版本，讓 Secrets Manager 使用目前的加密金鑰進行加密。如需詳細資訊，請參閱[變更秘密的加密金鑰](manage_update-encryption-key.md#manage_update-encryption-key_CLI)。然後重試複寫。

```
aws secretsmanager put-secret-value \
  --secret-id testDescriptionUpdate \
  --secret-string "SecretValue" \
  --version-stages "MyCustomLabel"
```

## 尚未啟用要進行複寫的區域
<a name="w2aac17c33c19"></a>

如需如何啟用區域的相關資訊，請參閱《*AWS 帳戶管理參考指南》*中的[管理 AWS 區域。](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)