排查一般问题 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

排查一般问题

使用此处的信息可帮助您诊断和修复在使用 AWS Secrets Manager 时可能遇到的拒绝访问或其他常见问题。

在我向 AWS Secrets Manager 发送请求时,收到“访问被拒绝”消息。

  • 确认您有权调用请求的操作和资源。管理员必须通过将 IAM 策略附加到您的 IAM 用户或您所属的组来授予权限。如果授予这些权限的策略语句包含任何条件 (例如,当日时间或 IP 地址限制),则您还必须在发送请求时满足这些要求。有关查看或修改适用于 IAM 用户、组或角色的策略的信息,请参阅 IAM 用户指南 中的使用策略

  • 如果您手动对 API 请求进行签名而不使用 AWS 开发工具包,请确认您已正确对请求进行签名

在我使用临时安全凭证发送请求时,收到“拒绝被访问”消息。

  • 请确认用于发出请求的 IAM 用户或角色具有正确的权限。临时安全凭证的权限来自于 IAM 用户或角色。这意味着,权限仅限于为 IAM 用户或角色授予的权限。有关临时安全凭证权限确定方式的更多信息,请参阅 IAM 用户指南 中的控制临时安全凭证的权限

  • 确认已正确对请求进行签名,并且请求格式正确无误。有关详细信息,请参阅所选开发工具包的工具包文档或 IAM 用户指南 中的使用临时安全凭证以请求对 AWS 资源的访问权限

  • 验证您的临时安全凭证没有过期。有关更多信息,请参阅 IAM 用户指南 中的请求临时安全凭证

并非始终立即显示我所做的更改。

作为全球数据中心的计算机要访问的服务,AWS Secrets Manager 使用称为最终一致性的分布式计算模型。您在 Secrets Manager(或其他 AWS 服务)中所做的任何更改需要一些时间才会对相关终端节点可见。它在服务器与服务器之间、复制区域与复制区域之间,以及全球的区域与区域之间发送数据需要时间,这会造成一定的延迟。Secrets Manager 也使用缓存来提高性能,但在某些情况下,这可能会增加耗时。在之前缓存的数据超时之前,更改可能不可见。

在设计全球应用程序时应考虑到这些可能的延迟。此外,确保应用程序可以按预期工作,即使在一个位置进行的更改不能立即在其他位置可见。

有关其他某些 AWS 服务如何受此影响的更多信息,请参阅以下资源:

在创建密钥时,我收到“无法使用不对称 CMK 生成数据密钥”消息。

确认您使用的是对称客户主密钥 (CMK) 而不是非对称 CMK。Secrets Manager 使用与密钥关联的对称客户主密钥 (CMK) 为每个密钥值生成数据密钥。当需要解密加密的密钥值时,Secrets Manager 还使用 CMK 来解密该数据密钥。您可以在 AWS CloudTrail 事件、Amazon CloudWatch Logs 和审计跟踪中跟踪请求和响应。此时不能使用非对称 CMK。