有没有人在尝试检索机密值时注意到AWS Secret Manager上有一些无法预测的失败?我使用自己的加密密钥,而且我经常发现,我得到一个"无法获取秘密列表"加密机密后,AWS控制台上出现错误。如果我在初始加密后更改加密密钥似乎会发生这种情况,但是在没有这种情况下也是如此。
我还认为我已经看到加密密钥从自定义密钥更改为默认值而没有任何操作的情况。
我还看到一个问题,即两个堆栈设置几乎完全不一致,人们可以在调用Secrets Manager时读取加密密钥,但有人不能。它看起来像是IAM问题,但我发现两个堆栈及其IAM设置之间没有任何区别。我只提到这个,以防它给出了上述问题的一些线索。
答案 0 :(得分:1)
我在更改加密密钥后也看到了同样的事情。我不明白为什么会这样。我将使用AWS打开一张票并报告回来。
与AWS Support交谈后确定问题似乎是一个错误。如果您禁用(或标记为删除)您的旧加密密钥,则会遇到此问题。
要解决此问题,您需要取消删除旧的加密密钥,并将其状态更改为"已启用"。在此之后,您将能够使用新的加密密钥检索您的秘密。
不幸的是,这是目前的解决方法,直到AWS有永久解决方案。
希望这有帮助。
答案 1 :(得分:0)
这里没有足够的数据来提供可靠的答案。但是,由于您提到了堆栈和IAM用户,所以我怀疑您可能会看到传播问题。
大多数AWS服务(尤其是IAM)为eventually consistent。如果创建用户或向用户添加权限,则传播这些用户权限可能需要一些时间。通常,这发生在几秒钟内,但有时可能需要几分钟。由于这些是分布式系统,因此您可以命中具有最近权限更新的节点,然后再命中没有该节点的节点。一个好的线索是,在创建所有内容后五到十分钟,所有这些一切都消失了。