【发布时间】:2020-05-17 01:37:28
【问题描述】:
我手动创建了一个轮换函数并将其链接到 Secret Manager,我已设法启用轮换,但是当我在 CloudWatch 中检查此轮换 lambda 的日志时,它显示错误:
[ERROR] ClientError: An error occurred (AccessDeniedException)
when calling the DescribeSecret operation:
User: arn:awsxxxxxxx:assumed-role/xxxxx-lambda-exec-role/
MyLambdaName is not authorized to perform: secretsmanager:DescribeSecret
on resource: MysecretARN
我知道我的执行角色出了点问题,所以我检查了附加到这个角色的政策,它有:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"lambda:InvokeFunction",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecretVersionStage",
"secretsmanager:RotateSecret"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:xxx",
"arn:aws:lambda:us-east-1:xxx"
]
}
]
}
我还将“AWSLambdaBasicExecutionRole”附加到我的 exec 角色中,我是否遗漏了其他内容?为什么我一直收到这个错误,我一直在搞乱这整个轮换的事情,筋疲力尽!请帮忙
我还尝试添加一些 KMS 操作,但仍然出现相同的错误...我已经为此工作了几天,AWS 文档非常混乱,有些甚至完全误导了我不同的方向……为什么要配置一个血腥的旋转这么复杂……(哭)
【问题讨论】:
标签: amazon-web-services aws-lambda amazon-iam credentials aws-secrets-manager