故障診斷 AWS Secrets Manager - AWS Secrets Manager
「拒絕存取」訊息暫時安全憑證的「存取遭拒」我所做的變更不一定都會立即顯示。「建立秘密時無法使用非對稱金鑰產生資料KMS金鑰」AWS CLI 或 AWS SDK 操作無法從部分找到我的秘密 ARN此秘密由 AWS 服務管理,您必須使用該服務來更新它。使用 時,Python 模組匯入失敗 Transform: AWS::SecretsManager-2024-09-16

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

故障診斷 AWS Secrets Manager

使用此處的資訊,來協助您針對在使用 Secrets Manager 時可能遇到的問題進行診斷與修復。

如需有關輪換的問題,請參閱 對 AWS Secrets Manager 輪換進行故障診斷

「拒絕存取」訊息

當您API呼叫 GetSecretValue 或 CreateSecret Secrets Manager 等 時,您必須具有進行該呼叫的IAM許可。當您使用 主控台時,主控台會代表您進行相同的API呼叫,因此您也必須擁有 IAM 許可。管理員可以透過將IAM政策連接至您的IAM使用者或您所屬的群組來授予許可。如果授予這些許可的政策陳述式包含任何條件,例如 time-of-day或 IP 地址限制,您也必須在傳送請求時符合這些要求。如需檢視或修改IAM使用者、群組或角色政策的相關資訊,請參閱IAM《 使用者指南》中的使用政策。如需有關 Secrets Manager 所需許可的詳細資訊,請參閱 的身分驗證和存取控制 AWS Secrets Manager

如果您要手動簽署API請求,但未使用 AWS SDKs,請確認您已正確簽署請求

暫時安全憑證的「存取遭拒」

確認用來提出請求的 IAM 使用者或角色擁有正確許可。臨時安全登入資料的許可衍生自 IAM 使用者或角色。這表示能提供的許可僅限於授予 IAM 使用者或角色的許可。如需如何確定臨時安全登入資料許可的詳細資訊,請參閱IAM《 使用者指南》中的控制臨時安全登入資料的許可

確認您的請求已正確簽署且請求的格式也正確。如需詳細資訊,請參閱 IAM 使用者指南中所選 的工具組文件SDK,或使用臨時安全登入資料請求存取 AWS 資源

確認您的臨時安全憑證並未過期。如需詳細資訊,請參閱IAM《 使用者指南》中的請求暫時安全登入資料。

如需有關 Secrets Manager 所需許可的詳細資訊,請參閱 的身分驗證和存取控制 AWS Secrets Manager

我所做的變更不一定都會立即顯示。

Secrets Manager 使用稱為最終一致性的分散式運算模型。您在 Secrets Manager (或其他 AWS 服務) 中進行的任何變更,都需要一些時間才能從所有可能的端點中顯示。部分延遲是由在伺服器之間、複寫區域之間和全球不同地區之間傳送資料所花費的時間造成。Secrets Manager 也會使用快取以提升效能,但在某些情況下,這可能會增加時間。直到先前快取的資料逾時後,才能看到變更。

設計您的全球應用程式以說明這些潛在的延遲。此外,確保它們如預期般運作,即使在某個位置所做的變更也不會立即顯示在另一個位置。

如需其他一些 AWS 服務如何受到最終一致性影響的詳細資訊,請參閱:

「建立秘密時無法使用非對稱金鑰產生資料KMS金鑰」

Secrets Manager 使用與秘密相關聯的對稱加密KMS金鑰,為每個秘密值產生資料金鑰。您無法使用非對稱KMS金鑰。確認您使用的是對稱加密KMS金鑰,而非非對稱KMS金鑰。如需說明,請參閱識別非對稱KMS金鑰

AWS CLI 或 AWS SDK 操作無法從部分找到我的秘密 ARN

在許多情況下,Secrets Manager 可以從 的一部分找到您的秘密,ARN而不是完整的 ARN。不過,如果您秘密的名稱以連字號結尾,後面接著六個字元,Secrets Manager 可能無法只從 的一部分找到秘密ARN。反之,我們建議您使用完整的 ARN或秘密的名稱。

更多詳細資訊

Secrets Manager 在秘密名稱結尾包含六個隨機字元,以協助確保秘密ARN是唯一的。如果刪除原始秘密,然後使用相同名稱建立新的秘密,這兩個秘密ARNs會因為這些字元而有不同。有權存取舊秘密的使用者不會自動存取新秘密,因為 ARNs不同。

Secrets Manager 會使用區域、帳戶、秘密名稱,然後連字號和六個額外的字元,建構秘密ARN的 ,如下所示:

arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef

如果您的秘密名稱以連字號和六個字元結尾,則僅使用部分 的 ARN,就會出現在 Secrets Manager,就像您指定完整的 一樣ARN。例如,您可能有一個名為 的秘密MySecret-abcdef,使用 ARN

arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef-nutBrk

如果您呼叫下列操作,只使用部分秘密 ARN,則 Secrets Manager 可能會找不到秘密。

$ aws secretsmanager describe-secret --secret-id arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef

此秘密由 AWS 服務管理,您必須使用該服務來更新它。

如果您在嘗試修改秘密時遇到此訊息,則只能使用訊息中列出的管理服務來更新秘密。如需詳細資訊,請參閱AWS Secrets Manager 由其他服務管理的秘密 AWS

若要決定管理秘密的人員,您可以檢閱秘密名稱。由其他服務管理的秘密以該服務的 ID 為字首。或者,在 中 AWS CLI呼叫 describe-secret,然後檢閱 欄位 OwningService

使用 時,Python 模組匯入失敗 Transform: AWS::SecretsManager-2024-09-16

如果您使用的是 Transform:,AWS::SecretsManager-2024-09-16並在輪換 Lambda 函數執行時遇到 Python 模組匯入失敗,問題可能是由不相容Runtime的值所造成。在此轉換版本中, 會為您 AWS CloudFormation 管理執行時間版本、程式碼和共用物件檔案。您不需要自行管理這些項目。