排查一般问题 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排查一般问题

使用此处的信息可帮助您诊断和修复在使用 AWS Secrets Manager 时可能遇到的拒绝访问或其他常见问题。

在我向 AWS Secrets Manager 发送请求时,收到“访问被拒绝”消息。

  • 确认您有权调用请求的操作和资源。管理员必须通过将 IAM 策略附加到您的 IAM 用户或您所属的组来授予权限。如果授予这些权限的策略语句包含任何条件 (例如,当日时间或 IP 地址限制),则您还必须在发送请求时满足这些要求。有关查看或修改适用于 IAM 用户、组或角色的策略的信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_manage.html 中的IAM 用户指南使用策略

  • 如果您要手动签署API请求,不使用 安信比 SDKs,请正确验证您 已签署请求.

在我使用临时安全凭证发送请求时,收到“拒绝被访问”消息。

并非始终立即显示我所做的更改。

作为全球数据中心的计算机要访问的服务,AWS Secrets Manager 使用称为最终一致性的分布式计算模型。您在 Secrets Manager(或其他 AWS 服务)中所做的任何更改需要一些时间才会对相关终端节点可见。它在服务器与服务器之间、复制区域与复制区域之间,以及全球的区域与区域之间发送数据需要时间,这会造成一定的延迟。Secrets Manager 也使用缓存来提高性能,但在某些情况下,这可能会增加耗时。在之前缓存的数据超时之前,更改可能不可见。

在设计全球应用程序时应考虑到这些可能的延迟。此外,确保应用程序可以按预期工作,即使在一个位置进行的更改不能立即在其他位置可见。

有关其他某些 AWS 服务如何受此影响的更多信息,请参阅以下资源:

在创建密钥时,我收到“无法使用不对称 CMK 生成数据密钥”消息。

确认您使用的是对称客户主密钥 (CMK) 而不是非对称 CMK。Secrets Manager 使用与密钥关联的对称客户主密钥 (CMK) 为每个密钥值生成数据密钥。当需要解密加密的密钥值时,Secrets Manager 还使用 CMK 来解密该数据密钥。您可以在AWS中跟踪请求和响应 CloudTrail 活动,亚马逊 CloudWatch 日志和审计跟踪。此时不能使用非对称 CMK。