本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Systems Manager 事件管理器故障排除
如果您在使用 S AWS ystems Manager 事件管理器时遇到问题,可以根据我们的最佳实践使用以下信息来解决问题。如果以下信息未涵盖您遇到的问题,或者在您尝试解决问题后问题仍然存在,请联系AWS 支持
错误消息:ValidationException – We were unable to validate the AWS Secrets Manager
secret
问题 1:创建响应计划的 AWS Identity and Access Management (IAM) 身份(用户、角色或群组)没有 secretsmanager:GetSecretValue
IAM 权限。IAM 身份必须拥有此权限才能验证 Secrets Manager 密钥。
-
解决方案:将缺少的
secretsmanager:GetSecretValue
权限添加到创建响应计划的 IAM 身份的 IAM 策略中。有关信息,请参阅《IAM 用户指南》中的添加 IAM 身份权限(控制台)或添加 IAM 策略 (AWS CLI)。
问题 2:该密钥没有附加允许 IAM 身份运行 GetSecretValue
操作的基于资源的策略,或者基于资源的策略拒绝给予该身份权限。
-
解决方案:在密钥的基于资源的策略中创建或添加一条
Allow
声明,授予 IAM 身份的secrets:GetSecretValue
权限。或者,如果使用的Deny
语句包含 IAM 身份,则更新策略,以便该身份可以运行该操作。有关信息,请参阅《AWS Secrets Manager 用户指南》中的为 AWS Secrets Manager 密钥附加权限策略。
问题 3:这些密钥没有附加允许访问 Incident Manager 服务主体 ssm-incidents.amazonaws.com
的基于资源的策略。
-
解决方案:创建或更新密钥的基于资源的策略,并包含以下权限:
{ "Effect": "Allow", "Principal": { "Service": ["ssm-incidents.amazonaws.com"] }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" }
问题 4: AWS KMS key 选定加密密钥的不是客户管理的密钥,或者选定的客户托管密钥不向事件管理器服务委托人提供 IAM 权限kms:Decrypt
。kms:GenerateDataKey*
或者,创建响应计划的 IAM 身份可能没有 IAM 权限GetSecretValue
。
-
解决方案:确保您满足主题将 PagerDuty 访问凭证存储在 AWS Secrets Manager 密钥中中先决条件下所述的要求。
问题 5:包含通用访问 REST API 密钥或用户令牌 REST API 密钥的密钥 ID 无效。
-
解决方案:确保您正确输入了 Secrets Manager 密钥的 ID,不留空格。你必须在存储你要使用的密钥的同一个 AWS 区域 地方工作。您不能使用已删除的密钥。
问题 6:在极少数情况下,Secrets Manager 服务可能会遇到问题,或者 Incident Manager 可能无法与其通信。
-
解决方案:请等待几分钟,然后重试。查看AWS Health Dashboard
是否存在可能影响任一服务的问题。
对其他问题进行故障排除
如果前面的步骤未能解决您的问题,则可以从以下资源中获得更多帮助:
-
有关访问 Incident Manager 控制台
时 Incident Manager 特有的 IAM 问题,请参阅 对 AWS Systems Manager Incident Manager 身份和访问进行故障排除。 -
有关访问时的一般身份验证和授权问题 AWS Management Console,请参阅 IAM 用户指南中的 IAM 疑难解答