Resolução de problemas AWS Secrets Manager - AWS Secrets Manager

Resolução de problemas AWS Secrets Manager

Use estas informações para ajudá-lo a diagnosticar e corrigir problemas que você venha a encontrar ao trabalhar com o Secrets Manager.

Para problemas relacionados à alternância, consulte Solução de problemas de alternância de segredos do AWS Secrets Manager.

Mensagens "Access denied" (Acesso negado) ao enviar solicitações para o Secrets Manager

Verifique se você tem permissões para chamar a operação e o recurso solicitados. Um administrador deve conceder permissões anexando uma política do IAM ao seu usuário do IAM ou a um grupo do qual você faz parte. Se as declarações de política que concedem essas permissões incluírem condições, como horário do dia ou restrições de endereço IP, você também deverá cumprir esses requisitos ao enviar a solicitação. Para obter informações sobre como visualizar ou modificar políticas para um usuário, grupo ou função do IAM, consulte Trabalho com políticas no Manual do usuário do IAM. Para obter mais informações sobre as permissões necessárias para o Secrets Manager, consulte Autenticação e controle de acesso para o AWS Secrets Manager.

Se você assinar solicitações de API manualmente, sem usar os SDKs da AWS, verifique se assinou a solicitação corretamente.

"Access denied" (Acesso negado) para credenciais de segurança temporárias

Verifique se o usuário ou a função do IAM que você está usando para fazer a solicitação tem as permissões corretas. As permissões de credenciais de segurança temporárias são originárias de um usuário ou função do IAM. Isso significa que as permissões são limitadas às concedidas ao usuário ou função do IAM. Para obter mais informações sobre como as permissões de credenciais de segurança temporárias são determinadas, consulte Controlar permissões para credenciais de segurança temporárias no Manual do usuário do IAM.

Verifique se suas solicitações são assinadas corretamente e bem-formada. Para obter detalhes, consulte a documentação do toolkit para o SDK escolhido ou Usar credenciais de segurança temporárias para solicitar acesso aos recursos da AWS no Manual do usuário do IAM.

Verifique se suas credenciais de segurança temporárias não expiraram. Para obter mais informações, consulte Solicitação de credenciais de segurança temporárias no Manual do usuário do IAM.

Para obter mais informações sobre as permissões necessárias para o Secrets Manager, consulte Autenticação e controle de acesso para o AWS Secrets Manager.

As alterações que faço nem sempre ficam imediatamente visíveis.

O Secret Manager usa um modelo de computação distribuído chamado consistência eventual. Qualquer alteração feita no Secrets Manager (ou outros serviços da AWS) leva tempo para se tornar visível em todos os endpoints possíveis. Parte do atraso resulta do tempo necessário para enviar os dados de um servidor para outro, de uma zona de replicação para outra e de uma região para outra em todo o mundo. O Secrets Manager também usa armazenamento em cache para melhorar a performance. Porém, em alguns casos, isso pode aumentar o tempo. A alteração talvez não fique visível enquanto os dados armazenados em cache anteriormente não atingirem o tempo limite.

Projete seus aplicações globais levando em conta esses possíveis atrasos. Além disso, garanta o funcionamento esperado, mesmo quando uma alteração feita em um local não fique imediatamente visível em outro.

Para obter mais informações sobre como alguns outros serviços da AWS são afetados pela consistência eventual, consulte:

“Cannot generate a data key with an asymmetric KMS key” (Não é possível gerar uma chave de dados com uma chave do KMS assimétrica) ao criar um segredo

O Secrets Manager usa uma chave de criptografia simétrica do KMS associada a um segredo para gerar uma chave de dados para cada valor de segredo. Não é possível usar uma chave do KMS assimétrica. Verifique se você está usando uma chave de criptografia do KMS simétrica em vez de uma chave do KMS assimétrica. Para obter instruções, consulte Identificação de chaves do KMS assimétricas.

Uma operação da AWS CLI ou do SDK da AWS não consegue encontrar meu segredo de um ARN parcial

Em muitos casos, o Secrets Manager pode encontrar seu segredo com parte de um ARN em vez do ARN completo. No entanto, se o nome do seu segredo terminar com um hífen seguido de seis caracteres, talvez o Secrets Manager não consiga encontrar o segredo exclusivamente com base em uma parte de um ARN. Em vez disso, recomendamos usar o ARN completo.

O Secrets Manager cria um ARN para um segredo com a região, conta, nome do segredo e, em seguida, um hífen e mais seis caracteres, da seguinte forma:

arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef

Se o nome do segredo terminar com um hífen e seis caracteres, usar apenas parte do ARN pode dar a impressão para o Secrets Manager de que você está especificando um ARN completo. Por exemplo, você pode ter um segredo nomeado MySecret-abcdef com o ARN

arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef-nutBrk

Se você chamar a seguinte operação, que usa apenas parte do ARN do segredo, talvez o Secrets Manager não encontre o segredo.

$ aws secretsmanager describe-secret --secret-id arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef

Esse segredo é gerenciado por um serviço da AWS, e você precisa usar esse serviço para atualizá-lo.

Se você encontrar essa mensagem ao tentar modificar um segredo, o segredo só poderá ser atualizado usando o serviço de gerenciamento listado na mensagem. Para mais informações, consulte Segredos gerenciados por outros serviços da AWS.

Para determinar quem gerencia um segredo, você pode revisar o nome do segredo. Os segredos gerenciados por outros serviços são prefixados com o ID do respectivo serviço. Como alternativa, no AWS CLI, chame describe-secret e revise o campo OwningService.