Solução de problemas AWS Secrets Manager - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas AWS Secrets Manager

Use estas informações para ajudá-lo a diagnosticar e corrigir problemas que você venha a encontrar ao trabalhar com o Secrets Manager.

Para problemas relacionados à alternância, consulte Solução de problemas de alternância do AWS Secrets Manager.

Mensagens de "Acesso negado"

Quando você faz uma API chamada como GetSecretValue ou CreateSecret para o Secrets Manager, você deve ter IAM permissões para fazer essa chamada. Quando você usa o console, ele faz as mesmas API chamadas em seu nome, então você também deve ter IAM permissões. Um administrador pode conceder permissões anexando uma IAM política ao seu IAM usuário ou a um grupo do qual você é membro. Se as declarações de política que concedem essas permissões incluírem quaisquer condições, como time-of-day restrições de endereço IP, você também deverá atender a esses requisitos ao enviar a solicitação. Para obter informações sobre como visualizar ou modificar políticas para um IAM usuário, grupo ou função, consulte Como trabalhar com políticas no Guia do IAM usuário. Para obter mais informações sobre as permissões necessárias para o Secrets Manager, consulte Autenticação e controle de acesso para o AWS Secrets Manager.

Se você estiver assinando API solicitações manualmente, sem usar o AWS SDKs, verifique se assinou corretamente a solicitação.

"Access denied" (Acesso negado) para credenciais de segurança temporárias

Verifique se o IAM usuário ou a função que você está usando para fazer a solicitação tem as permissões corretas. As permissões para credenciais de segurança temporárias derivam de um IAM usuário ou função. Isso significa que as permissões são limitadas às concedidas ao IAM usuário ou à função. Para obter mais informações sobre como as permissões para credenciais de segurança temporárias são determinadas, consulte Controle de permissões para credenciais de segurança temporárias no Guia do IAMusuário.

Verifique se suas solicitações são assinadas corretamente e bem-formada. Para obter detalhes, consulte a documentação do kit de ferramentas de sua escolha SDK ou Usando credenciais de segurança temporárias para solicitar acesso aos AWS recursos no Guia do IAMusuário.

Verifique se suas credenciais de segurança temporárias não expiraram. Para obter mais informações, consulte Solicitando credenciais de segurança temporárias no Guia do IAMusuário.

Para obter mais informações sobre as permissões necessárias para o Secrets Manager, consulte Autenticação e controle de acesso para o AWS Secrets Manager.

As alterações que faço nem sempre ficam imediatamente visíveis.

O Secret Manager usa um modelo de computação distribuído chamado consistência eventual. Qualquer alteração que você fizer no Secrets Manager (ou em outros AWS serviços) leva tempo para se tornar visível em todos os endpoints possíveis. Parte do atraso resulta do tempo necessário para enviar os dados de um servidor para outro, de uma zona de replicação para outra e de uma região para outra em todo o mundo. O Secrets Manager também usa armazenamento em cache para melhorar a performance. Porém, em alguns casos, isso pode aumentar o tempo. A alteração talvez não fique visível enquanto os dados armazenados em cache anteriormente não atingirem o tempo limite.

Projete seus aplicações globais levando em conta esses possíveis atrasos. Além disso, garanta o funcionamento esperado, mesmo quando uma alteração feita em um local não fique imediatamente visível em outro.

Para obter mais informações sobre como alguns outros AWS serviços são afetados pela consistência eventual, consulte:

“Não é possível gerar uma chave de dados com uma chave assimétrica” ao criar um KMS segredo

O Secrets Manager usa uma KMSchave de criptografia simétrica associada a um segredo para gerar uma chave de dados para cada valor secreto. Você não pode usar uma chave assimétricaKMS. Verifique se você está usando uma chave de criptografia simétrica em vez de uma KMS chave KMS assimétrica. Para obter instruções, consulte Identificação de chaves assimétricas KMS.

Uma AWS SDK operação AWS CLI ou não consegue encontrar meu segredo a partir de uma operação parcial ARN

Em muitos casos, o Secrets Manager pode descobrir seu segredo em parte e ARN não na íntegraARN. No entanto, se o nome do seu segredo terminar em um hífen seguido por seis caracteres, o Secrets Manager pode não conseguir encontrar o segredo apenas em parte de umARN. Em vez disso, recomendamos que você use o nome completo ARN ou o nome do segredo.

Mais detalhes

O Secrets Manager inclui seis caracteres aleatórios no final do nome secreto para ajudar a garantir que o segredo ARN seja único. Se o segredo original for excluído e um novo segredo for criado com o mesmo nome, os dois segredos serão diferentes ARNs por causa desses caracteres. Os usuários com acesso ao segredo antigo não obtêm acesso automático ao novo segredo porque ARNs são diferentes.

O Secrets Manager constrói um ARN para um segredo com região, conta, nome secreto e, em seguida, um hífen e mais seis caracteres, da seguinte forma:

arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef

Se seu nome secreto terminar com um hífen e seis caracteres, usar apenas parte do ARN pode aparecer para o Secrets Manager como se você estivesse especificando um nome completo. ARN Por exemplo, você pode ter um segredo chamado MySecret-abcdef com o ARN

arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef-nutBrk

Se você chamar a operação a seguir, que usa apenas parte do segredoARN, talvez o Secrets Manager não encontre o segredo.

$ aws secretsmanager describe-secret --secret-id arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef

Esse segredo é gerenciado por um AWS serviço e você deve usar esse serviço para atualizá-lo.

Se você encontrar essa mensagem ao tentar modificar um segredo, o segredo só poderá ser atualizado usando o serviço de gerenciamento listado na mensagem. Para obter mais informações, consulte Segredos do AWS Secrets Manager gerenciados por outros produtos da AWS.

Para determinar quem gerencia um segredo, você pode revisar o nome do segredo. Os segredos gerenciados por outros serviços são prefixados com o ID do respectivo serviço. Ou, no AWS CLI, chame describe-secret e revise o campo. OwningService