AWS Secrets Manager 控制台上的“无法获取密钥列表”？

Question

在尝试检索密钥值时，是否有人注意到 AWS Secret Manager 出现了一些不可预知的故障？我正在使用自己的加密密钥，并且我发现在加密密钥后，我经常在 AWS 控制台上收到“无法获取密钥列表”错误。如果我在初始加密后更改加密密钥，这似乎会发生，但在没有这种情况下也会发生这种情况。

我还认为我见过加密密钥从自定义密钥更改为默认密钥而我没有任何操作的情况。

我还看到了一个问题，即设置几乎相同的两个堆栈存在不一致之处，即在调用 Secrets Manager 时一个可以读取加密密钥，但一个不能。它看起来像一个 IAM 问题，但我没有发现两个堆栈及其 IAM 设置之间有任何区别。我只提到这一点，以防它为上述问题提供一些线索。

Answer 1

更改加密密钥后，我也看到了同样的情况。我不明白为什么会这样。我将向 AWS 开票并报告。

在与 AWS Support 交谈后确定，该问题似乎是一个错误。如果您禁用（或将其标记为删除）旧的加密密钥，您将遇到此问题。

要解决此问题，您需要取消删除旧加密密钥，并将其状态更改为“已启用”。在此之后，您将能够使用新的加密密钥检索您的秘密。

不幸的是，在 AWS 找到永久解决方案之前，这是当前的解决方法。

希望这会有所帮助。

Answer 2

这里没有足够的数据来提供可靠的答案。但是，由于您提到了堆栈和 IAM 用户，我怀疑您可能会看到传播问题。

大多数 AWS 服务，尤其是 IAM，都是eventually consistent。如果您创建用户或向用户添加权限，则这些用户权限可能需要一些时间才能传播。通常这会在几秒钟内发生，但有时可能需要几分钟。由于这些是分布式系统，您可以点击具有最近权限更新的节点，然后点击没有的节点。一个很好的线索是，如果这一切都在您创建完所有内容后五到十分钟就消失了。