문제 해결 AWS Secrets Manager

여기 정보를 사용하여 Secrets Manager 작업 시 발생할 수 있는 문제를 진단하고 수정하세요.

교체와 관련된 문제는 AWS Secrets Manager 교체 문제 해결 섹션을 참조하세요.

‘액세스가 거부됨’ 메시지

GetSecretValue 또는 CreateSecret to Secrets Manager 같은 API를 직접적으로 호출할 경우, 이러한 호출을 할 수 있는 IAM 권한이 있어야 합니다. 콘솔을 사용할 때 콘솔은 사용자를 대신하여 동일한 API 직접 호출을 수행하므로 IAM 권한도 있어야 합니다. IAM 정책을 여러분의 IAM 사용자나 여러분이 멤버인 그룹에 연결하면 관리자가 권한을 부여할 수 있습니다. 이러한 권한을 부여하는 정책 명령문에 시간이나 IP 주소 제한 정책이 포함된다면, 요청을 전송할 때 이러한 요구사항을 충족해야 합니다. IAM 사용자, 그룹 또는 역할에 대한 정책을 확인 또는 수정하는 방법은 IAM 사용 설명서에 있는 정책 작업 섹션을 참조하세요. Secrets Manager에 필요한 권한에 대한 자세한 정보는 에 대한 인증 및 액세스 제어 AWS Secrets Manager 섹션을 참조하세요.

AWS SDK를 사용하지 않고 API 요청에 수동으로 서명할 경우 올바르게 요청에 서명했는지 확인합니다.

임시 보안 자격 증명에 대한 “액세스 거부됨”이라는 메시지 발생

요청을 위해 사용 중인 IAM 사용자나 역할에 올바른 권한이 있는지 확인합니다. 임시 보안 자격 증명에 대한 권한은 IAM 사용자 또는 역할에서 파생됩니다. 이는 권한이 IAM 사용자 또는 역할에 부여된 권한으로 제한됨을 의미합니다. 임시 보안 자격 증명의 권한이 결정되는 방법에 대한 자세한 내용은 IAM 사용 설명서의 임시 보안 자격 증명을 위한 권한 제어 섹션을 참조하세요.

요청에 올바르게 서명했고 요청이 잘 구성되었는지 확인합니다. 자세한 내용은 IAM 사용 설명서의 선택한 SDK에 대한 도구 키트 설명서 또는 임시 보안 자격 증명을 사용하여 AWS 리소스에 대한 액세스 요청을 참조하세요.

임시 보안 자격 증명이 만료되지 않았는지 확인합니다. 자세한 내용은 IAM 사용 설명서의 임시 보안 자격 증명 요청 섹션을 참조하세요.

Secrets Manager에 필요한 권한에 대한 자세한 정보는 에 대한 인증 및 액세스 제어 AWS Secrets Manager 섹션을 참조하세요.

변경 사항이 경우에 따라 즉시 표시되지 않습니다.

Secrets Manager는 최종 일관성이라는 분산 컴퓨팅 모델을 사용합니다. Secrets Manager(또는 기타 AWS 서비스)에서 변경한 내용은 가능한 모든 엔드포인트에서 표시되는 데 시간이 걸립니다. 일부 지연은 서버에서 서버로, 복제 영역에서 복제 영역으로, 전세계의 리전에서 리전으로 데이터를 보내는 데 걸리는 시간으로 인해 발생합니다. 또한 Secrets Manager는 성능 향상을 위해 캐싱을 사용하지만, 어떤 경우에는 이로 인해 시간이 더 걸릴 수 있습니다. 이러한 변화는 이전에 캐싱된 데이터가 끝날 때까지 가시화되지 않을 수 있습니다.

이러한 잠재적 지연을 고려하도록 전역 애플리케이션을 설계합니다. 또한 한 위치에서 변경한 내용이 다른 위치에서 즉시 보이지 않을 때조차도 예상대로 작동하는지 확인합니다.

일부 다른 AWS 서비스가 최종 일관성의 영향을 받는 방법에 대한 자세한 내용은 다음을 참조하세요.

• Amazon Redshift 데이터베이스 개발자 가이드의 데이터 일관성 관리

• Amazon Simple Storage Service 사용 설명서의 Amazon S3 데이터 일관성 모델

• AWS 빅 데이터 블로그에서 ETL 워크플로에 대해 Amazon S3 및 Amazon EMR 사용 시 일관성 유지

• Amazon EC2 API 참조의 Amazon EC2 최종 일관성

보안 암호를 생성할 때 “비대칭 KMS 키로 데이터 키를 생성할 수 없습니다.”라는 메시지 발생

Secrets Manager는 보안 암호와 연결된 대칭 암호화 KMS 키를 사용하여 각 보안 암호 값에 대한 데이터 키를 생성합니다. 비대칭 KMS 키를 사용할 수 없습니다. 비대칭 KMS 키 대신 대칭 암호화 KMS 키를 사용하고 있는지 확인하세요. 지침은 비대칭 KMS 키 식별 단원을 참조하세요.

AWS CLI 또는 AWS SDK 작업이 부분 ARN에서 내 보안 암호를 찾을 수 없음

많은 경우 Secrets Manager는 전체 ARN이 아닌 ARN의 일부에서 보안 암호를 찾을 수 있습니다. 그러나, 보안 암호 이름이 하이픈 다음에 6자로 끝나는 경우 Secrets Manager는 ARN의 일부에서만 보안 암호를 찾지 못할 수 있습니다. 그 대신 전체 ARN 또는 암호 이름을 사용할 것을 권장합니다.

추가 세부 정보

Secrets Manager는 보안 암호 ARN이 고유한지 확인하기 위해 보안 암호 이름의 끝에 임의의 문자 6개를 포함합니다. 원래 보안 암호를 삭제한 후 동일한 이름으로 새 보안 암호를 생성하면 해당 문자로 인해 두 보안 암호의 ARN이 달라집니다. ARN이 다르기 때문에 이전 보안 암호에 액세스할 수 있는 사용자는 새 보안 암호에 자동으로 액세스할 수 없습니다.

Secrets Manager는 다음과 같이 리전, 계정, 보안 암호 이름, 하이픈 및 추가 6자를 사용하여 보안 암호에 대한 ARN을 구성합니다.

arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef

보안 암호 이름이 하이픈과 6자로 끝나는 경우 ARN의 일부만 사용하면 Secrets Manager에 전체 ARN을 지정하는 것처럼 보일 수 있습니다. 예를 들어 ARN과 함께 이름이 MySecret-abcdef인 보안 암호가 있을 수 있습니다.

arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef-nutBrk

보안 암호 ARN의 일부만 사용하는 다음 작업을 호출할 경우, Secret Manager가 해당 보안 암호를 찾지 못할 수 있습니다.

$ aws secretsmanager describe-secret --secret-id arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef

이 보안 암호는 AWS 서비스에서 관리하므로 해당 서비스를 사용하여 업데이트해야 합니다.

보안 암호를 수정하려고 할 때 이 메시지가 나타나면 메시지에 나열된 관리 서비스를 사용해야만 보안 암호를 업데이트할 수 있습니다. 자세한 내용은 다른 AWS 서비스에서 관리하는 AWS Secrets Manager 보안 암호 단원을 참조하십시오.

보안 암호 관리자를 결정하기 위해 보안 암호 이름을 검토할 수 있습니다. 다른 서비스에서 관리하는 보안 암호는 해당 서비스의 ID가 접두사로 붙습니다. 또는에서 describe-secret을 AWS CLI호출한 다음 필드를 검토합니다OwningService.

사용 시 Python 모듈 가져오기 실패 Transform: AWS::SecretsManager-2024-09-16

변환:를 사용 AWS::SecretsManager-2024-09-16 중이고 교체 Lambda 함수가 실행될 때 Python 모듈 가져오기 실패가 발생하는 경우 호환되지 않는 Runtime 값으로 인해 문제가 발생할 수 있습니다. 이 변환 버전을 사용하면가 런타임 버전, 코드 및 공유 객체 파일을 AWS CloudFormation 관리합니다. 이러한 항목을 직접 관리할 필요는 없습니다.