AWS Systems Manager 事件管理器故障排除

如果您在使用 S AWS ystems Manager 事件管理器时遇到问题，可以根据我们的最佳实践使用以下信息来解决问题。如果以下信息未涵盖您遇到的问题，或者在您尝试解决问题后问题仍然存在，请联系AWS 支持。

错误消息：ValidationException – We were unable to validate the AWS Secrets Manager secret

问题 1：创建响应计划的 AWS Identity and Access Management (IAM) 身份（用户、角色或群组）没有 secretsmanager:GetSecretValue IAM 权限。IAM 身份必须拥有此权限才能验证 Secrets Manager 密钥。

• 解决方案：将缺少的 secretsmanager:GetSecretValue 权限添加到创建响应计划的 IAM 身份的 IAM 策略中。有关信息，请参阅《IAM 用户指南》中的添加 IAM 身份权限（控制台）或添加 IAM 策略 (AWS CLI)。

问题 2：该密钥没有附加允许 IAM 身份运行 GetSecretValue 操作的基于资源的策略，或者基于资源的策略拒绝给予该身份权限。

• 解决方案：在密钥的基于资源的策略中创建或添加一条 Allow 声明，授予 IAM 身份的 secrets:GetSecretValue 权限。或者，如果使用的 Deny 语句包含 IAM 身份，则更新策略，以便该身份可以运行该操作。有关信息，请参阅《AWS Secrets Manager 用户指南》中的为 AWS Secrets Manager 密钥附加权限策略。

问题 3：这些密钥没有附加允许访问 Incident Manager 服务主体 ssm-incidents.amazonaws.com 的基于资源的策略。

• 解决方案：创建或更新密钥的基于资源的策略，并包含以下权限：

  {
      "Effect": "Allow",
      "Principal": {
          "Service": ["ssm-incidents.amazonaws.com"]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
  }

问题 4： AWS KMS key 选定加密密钥的不是客户管理的密钥，或者选定的客户托管密钥不向事件管理器服务委托人提供 IAM 权限kms:Decrypt。kms:GenerateDataKey*或者，创建响应计划的 IAM 身份可能没有 IAM 权限GetSecretValue。

• 解决方案：确保您满足主题将 PagerDuty 访问凭证存储在 AWS Secrets Manager 密钥中中先决条件下所述的要求。

问题 5：包含通用访问 REST API 密钥或用户令牌 REST API 密钥的密钥 ID 无效。

• 解决方案：确保您正确输入了 Secrets Manager 密钥的 ID，不留空格。你必须在存储你要使用的密钥的同一个 AWS 区域 地方工作。您不能使用已删除的密钥。

问题 6：在极少数情况下，Secrets Manager 服务可能会遇到问题，或者 Incident Manager 可能无法与其通信。

• 解决方案：请等待几分钟，然后重试。查看AWS Health Dashboard是否存在可能影响任一服务的问题。

对其他问题进行故障排除

如果前面的步骤未能解决您的问题，则可以从以下资源中获得更多帮助：

• 有关访问 Incident Manager 控制台时 Incident Manager 特有的 IAM 问题，请参阅 对 AWS Systems Manager Incident Manager 身份和访问进行故障排除。

• 有关访问时的一般身份验证和授权问题 AWS Management Console，请参阅 IAM 用户指南中的 IAM 疑难解答