Solución de problemas de rotación de rotación AWS Secrets Manager - AWS Secrets Manager
Pasos para la solución de problemasNo hay actividad después de “Found credentials in environment variables” (Se encontraron credenciales en variables de entorno)No hay actividad después de createSecretError: “No se permite el acceso a KMS”Error: “Key is missing from secret JSON” (Falta la clave en el JSON del secreto) Error: “setSecret: Unable to log into database” (setSecret: no se puede iniciar sesión en la base de datos)Error: “No se puede importar el módulo 'lambda_function'” Se ha actualizado una función de rotación existente de Python 3.7 a 3.9AWS Lambda rotación secreta con error PutSecretValueFallos de rotación intermitentes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas de rotación de rotación AWS Secrets Manager

Para muchos servicios, Secrets Manager utiliza una función de Lambda para rotar secretos. Para obtener más información, consulte Rotación con función de Lambda. La función de rotación de Lambda interactúa con la base de datos o el servicio para el que está destinado el secreto, así como con Secrets Manager. Cuando la rotación no funciona de la forma esperada, primero debe comprobar los CloudWatch registros.

nota

Algunos servicios pueden administrar los secretos por usted, incluida la administración de la rotación automática. Para obtener más información, consulte Rotación gestionada de AWS Secrets Manager secretos.

¿Cómo solucionar errores de rotación secretos en las funciones AWS Lambda

Si se producen errores de rotación secretos en las funciones de Lambda, siga los pasos a continuación para solucionar el problema.

Causas posibles

  • Ejecuciones simultáneas insuficientes para la función Lambda

  • Condiciones de carrera debidas a las múltiples llamadas a la API durante la rotación

  • Lógica de función Lambda incorrecta

  • Problemas de red entre la función Lambda y la base de datos

Pasos generales de solución de problemas

  1. Analice CloudWatch los registros:

    • Busque mensajes de error específicos o comportamientos inesperados en los registros de funciones de Lambda

    • Compruebe que se estén intentando realizar todos los pasos de rotación (CreateSecretSetSecretTestSecret,,,FinishSecret)

  2. Revisa las llamadas a la API durante la rotación:

    • Evite realizar llamadas a la API mutantes en el secreto durante la rotación de Lambda

    • Asegúrese de que no haya ninguna condición de carrera entre una y otra llamada RotateSecret PutSecretValue

  3. Compruebe la lógica de la función Lambda:

    • Confirme que está utilizando el código de AWS muestra más reciente para la rotación secreta

    • Si utilizas un código personalizado, revísalo para comprobar que se gestionan correctamente todos los pasos de rotación

  4. Compruebe la configuración de la red:

    • Compruebe que las reglas del grupo de seguridad permiten a la función Lambda acceder a la base de datos

    • Garantice el acceso adecuado al punto final de la VPC o al punto final público para Secrets Manager

  5. Pruebe las versiones de un secreto:

    • Compruebe que la AWSCURRENT versión del secreto permita el acceso a la base de datos

    • Compruebe AWSPREVIOUS si nuestras AWSPENDING versiones son válidas

  6. Borrar las rotaciones pendientes:

    • Si la rotación falla constantemente, borre la etiqueta de AWSPENDING ensayo y vuelva a intentar la rotación

  7. Compruebe la configuración de simultaneidad de Lambda:

    • Compruebe que la configuración de simultaneidad es adecuada para su carga de trabajo

    • Si sospecha que hay problemas de simultaneidad, consulte la sección «Solución de problemas de rotación relacionados con la simultaneidad»

No hay actividad después de “Found credentials in environment variables” (Se encontraron credenciales en variables de entorno)

Si no hay actividad después de “Found credentials in environment variables” (Se encontraron credenciales en variables de entorno) y la duración de la tarea es larga (por ejemplo, el tiempo de espera predeterminado de Lambda de 30 000 ms), es posible que la función de Lambda agote el tiempo de espera al intentar llegar al punto de conexión de Secrets Manager.

La función de rotación de Lambda debe ser capaz de acceder a un punto de enlace de Secrets Manager. Si la función de Lambda puede acceder a Internet, puede utilizar un punto de enlace público. Para buscar un punto de conexión, consulte AWS Secrets Manager puntos finales.

Si la función de Lambda se ejecuta en una VPC que no tiene acceso a Internet, recomendamos configurar los puntos de enlace privados del servicio de Secrets Manager dentro de la VPC. La VPC puede interceptar entonces las solicitudes dirigidas al punto de enlace regional público y redirigirlas al punto de enlace privado. Para obtener más información, consulte Puntos de conexión de VPC (AWS PrivateLink).

También puede habilitar la función de Lambda para acceder a un punto de conexión público de Secrets Manager. Para ello, agregue una puerta de enlace NAT o una puerta de enlace de Internet a su VPC. Esto permite que el tráfico de la VPC alcance el punto de conexión público. Esto expone a la VPC a más riesgo, ya que desde la red pública de Internet se puede atacar la dirección IP de la gateway.

No hay actividad después de createSecret

A continuación, se indican los problemas que pueden provocar que la rotación se detenga después de createSecret:

La red de VPC ACLs no permite la entrada ni la salida de tráfico HTTPS.

Para obtener más información, consulte Control del tráfico a las subredes mediante la red ACLs en la Guía del usuario de Amazon VPC.

La configuración del tiempo de espera de la función de Lambda es demasiado corta para realizar la tarea.

Para obtener más información, consulte Configuración de las opciones de las funciones de Lambda en la Guía para desarrolladores de AWS Lambda .

El punto de conexión de VPC de Secrets Manager no permite la VPC CIDRs en la entrada en los grupos de seguridad asignados.

Para obtener más información, consulte Controlar el tráfico hacia los recursos mediante grupos de seguridad en la Guía del usuario de Amazon VPC.

La política de puntos de conexión de VPC de Secrets Manager no permite que Lambda utilice el punto de conexión de VPC.

Para obtener más información, consulte Uso de un punto final AWS Secrets Manager de VPC.

El secreto utiliza la rotación de usuarios alternativos, Amazon RDS administra el secreto del superusuario y la función de Lambda no puede acceder a la API de RDS.

Para la rotación alternativa de los usuarios en la que otro AWS servicio administra el secreto del superusuario, la función de rotación de Lambda debe poder llamar al punto de conexión del servicio para obtener la información de conexión de la base de datos. Recomendamos configurar un punto de conexión de VPC para el servicio de base de datos. Para obtener más información, consulte:

Error: “No se permite el acceso a KMS”

Si ve ClientError: An error occurred (AccessDeniedException) when calling the GetSecretValue operation: Access to KMS is not allowed, la función de rotación no tiene permiso para descifrar el secreto mediante la clave de KMS que se utilizó para cifrarlo. Es posible que haya una condición en la política de permisos que limite el contexto de cifrado a un secreto específico. Para obtener más información acerca del permiso necesario, consulte Instrucción de política para una clave administrada por el cliente.

Error: “Key is missing from secret JSON” (Falta la clave en el JSON del secreto)

Una función de rotación de Lambda requiere que el valor del secreto esté en una estructura JSON específica. Si aparece este error, es posible que falte una clave en el JSON a la que la función de rotación intentó acceder. Para obtener información sobre la estructura JSON de cada tipo de secreto, consulte Estructura JSON de AWS Secrets Manager secretos .

Error: “setSecret: Unable to log into database” (setSecret: no se puede iniciar sesión en la base de datos)

A continuación, se indican los problemas que pueden provocar este error:

La función de rotación no puede acceder a la base de datos.

Si la duración de la tarea es larga (por ejemplo, más de 5000 ms), es posible que la función de rotación de Lambda no pueda acceder a la base de datos a través de la red.

Si la base de datos o servicio se ejecuta en una EC2 instancia de Amazon en una VPC, es recomendable configurar la función de Lambda para ejecutarla en la misma VPC. A continuación, la función de rotación puede comunicarse directamente con el servicio. Para obtener más información, consulte Configuración del acceso a la VPC.

Para permitir que la función de Lambda tenga acceso a la base de datos o el servicio, debe asegurarse de que los grupos de seguridad adjuntos a la función de rotación de Lambda permitan conexiones salientes a la base de datos o el servicio. Asimismo, debe asegurarse de que los grupos de seguridad adjuntos a la base de datos o el servicio permitan conexiones entrantes desde la función de rotación de Lambda.

Las credenciales del secreto son incorrectas.

Si la duración de la tarea es corta, es posible que la función de rotación de Lambda no pueda autenticarse con las credenciales del secreto. Compruebe las credenciales iniciando sesión manualmente con la información de AWSPREVIOUS las versiones AWSCURRENT y del secreto mediante el comando. AWS CLI get-secret-value

La base de datos utiliza scram-sha-256 para cifrar las contraseñas.

Si la base de datos es Aurora PostgreSQL versión 13 o posterior y utiliza scram-sha-256 para cifrar contraseñas, pero la función de rotación utiliza libpq versión 9 o posterior, que no admite scram-sha-256, la función de rotación no se puede conectar a la base de datos.

Para determinar qué usuarios de bases de datos utilizan cifrado con scram-sha-256

  • Consulte Checking for users with non-SCRAM passwords (Búsqueda de usuarios con contraseñas que no sean de Scram) en la entrada de blog SCRAM Authentication in RDS for PostgreSQL 13 (Autenticación SCRAM en RDS para PostgreSQL 13).

Para determinar qué versión de libpq utiliza la función de rotación

  1. En un equipo basado en Linux, en la consola de Lambda, vaya a la función de rotación y descargue el paquete de implementación. Descomprima el archivo zip en un directorio de trabajo.

  2. En una línea de comandos, en el directorio de trabajo, ejecute:

    readelf -a libpq.so.5 | grep RUNPATH

  3. Si ve la cadena PostgreSQL-9.4.x, o bien una versión principal inferior a 10, entonces la función de rotación no admite scram-sha-256.

    • Salida de una función de rotación que no admite scram-sha-256:

      0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild-a1b2c/workspace/build/PostgreSQL/PostgreSQL-9.4.x_client_only.123456.0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil-path/build.libfarm/lib:/local/p4clients/pkgbuild-a1b2c/workspace/src/PostgreSQL/build/private/install/lib]

    • Salida de una función de rotación que admite scram-sha-256:

      0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild-a1b2c/workspace/build/PostgreSQL/PostgreSQL-10.x_client_only.123456.0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil-path/build.libfarm/lib:/local/p4clients/pkgbuild-a1b2c/workspace/src/PostgreSQL/build/private/install/lib]

nota

Si la rotación de secretos automática se configuró antes del 30 de diciembre de 2021, la función de rotación incluida en el paquete no libpq es compatiblescram-sha-256. Para que se admita scram-sha-256, se debe volver a crear la función de rotación.

La base de datos requiere acceso SSL/TLS.

Si su base de datos requiere una conexión SSL/TLS, pero la función de rotación utiliza una conexión sin cifrar, dicha función no podrá conectarse a la base de datos. Las funciones de rotación de Amazon RDS (a excepción de Oracle y Db2) y Amazon DocumentDB utilizan una capa de sockets seguros (SSL) o una seguridad de la capa de transporte (TLS) de forma automática para conectarse a su base de datos, si está disponible. De lo contrario, utilizan una conexión no cifrada.

nota

Si configuró la rotación automática de secretos antes del 20 de diciembre de 2021, es posible que la función de rotación se base en una plantilla anterior que no sea compatibleSSL/TLS. To support connections that use SSL/TLS, es necesario volver a crear la función de rotación.

Para determinar cuándo se creó la función de rotación

  1. Ingrese a la consola de Secrets Manager https://console.aws.amazon.com/secretsmanager/y abra su secreto. En la sección Rotation configuration (Configuración de rotación), en Lambda rotation function (Función de rotación de Lambda), podrá ver Lambda function ARN (ARN de la función de Lambda), por ejemplo, arn:aws:lambda:aws-region:123456789012:function:SecretsManagerMyRotationFunction . Copie el nombre de la función desde el final del ARN, que en este ejemplo sería SecretsManagerMyRotationFunction .

  2. Ingrese a Functions (Funciones) de la AWS Lambda consola https://console.aws.amazon.com/lambda/y, pegue el nombre de la función de Lambda en el cuadro de búsqueda, elija Enter (Ingresar) y, a continuación, elija la función de Lambda.

  3. En la página de detalles de la función, en la pestaña Configuration (Configuración), en Tags (Etiquetas), copie el valor junto a la clave aws:cloudformation:stack-name.

  4. Ingrese a la AWS CloudFormation consola de https://console.aws.amazon.com/cloudformation, en Stacks (Pilas), pegue el valor de clave en el cuadro de búsqueda y, a continuación, elija Enter (Ingresar).

  5. La lista de pilas se filtra para que, de esta manera, aparezca únicamente la pila que creó la función de rotación de Lambda. En la columna Created date (Fecha de creación), consulte la fecha en que se creó la pila. Esta es la fecha en que se creó la función de rotación de Lambda.

Error: “No se puede importar el módulo 'lambda_function'”

Es posible que reciba este error si ejecuta una función de Lambda anterior que se actualizó automáticamente de Python 3.7 a una versión más reciente de Python. Para resolver el error, puede volver a cambiar la versión de la función de Lambda a Python 3.7 y, a continuación, Se ha actualizado una función de rotación existente de Python 3.7 a 3.9. Para obtener más información, consulte ¿Por qué no se pudo rotar la función de Lambda de Secrets Manager y recibí el error “No se encontró el módulo pg”? en AWS  re:Post.

Se ha actualizado una función de rotación existente de Python 3.7 a 3.9

Algunas funciones de rotación creadas antes de noviembre de 2022 utilizaban Python 3.7. El AWS SDK de para Python dejó de ser compatible con Python 3.7 en diciembre de 2023. Para obtener más información, consulte Actualizaciones de la política de soporte de Python para AWS SDKs y Herramientas. Para cambiar a una nueva función de rotación que utilice Python 3.9, puede añadir una propiedad de tiempo de ejecución a una función de rotación existente o volver a crear la función de rotación.

Para encontrar las funciones de rotación de Lambda, utilice Python 3.7

  1. Inicie sesión en AWS Management Console y abra la AWS Lambda consola en https://console.aws.amazon.com/lambda/.

  2. En la lista Funciones, filtre por SecretsManager.

  3. En la lista filtrada de funciones, en Tiempo de ejecución, busque Python 3.7.

Opción 1: Vuelva a crear la función de rotación mediante AWS CloudFormation

Cuando usa la consola de Secrets Manager para activar la rotación, Secrets Manager usa AWS CloudFormation para crear los recursos necesarios, incluida la función de Lambda de rotación. Si ha utilizado la consola para activar la rotación o ha creado la función de rotación mediante una AWS CloudFormation pila, puede utilizar la misma AWS CloudFormation pila para volver a crear la función de rotación con un nombre nuevo. La nueva función usa la versión más reciente de Python.

Para buscar la AWS CloudFormation pila que creó la función de rotación

  • En la página de detalles de la función de Lambda, seleccione la pestaña Configuración, y elija Etiquetas. Vea el ARN junto a aws:cloudformation:stack-id.

    El nombre de la pila está incrustado en el ARN, como se muestra en el siguiente ejemplo.

    • ARN: arn:aws:cloudformation:us-west-2:408736277230:stack/SecretsManagerRDSMySQLRotationSingleUser5c2-SecretRotationScheduleHostedRotationLambda-3CUDHZMDMBO8/79fc9050-2eef-11ed-80f0-021fb13c0537

    • Nombre de pila: SecretsManagerRDSMySQLRotationSingleUser5c2-SecretRotationScheduleHostedRotationLambda

Para recrear una función de rotación (AWS CloudFormation)

  1. En AWS CloudFormation, busque la pila por su nombre y, a continuación, seleccione Actualizar.

    Si aparece un cuadro de diálogo en el que se recomienda actualizar la pila raíz, seleccione Ir a la pila raíz y, a continuación, elija Actualizar.

  2. En la página de Pila de actualizaciones, en Preparar plantilla, elija Editar en Application Composer y, a continuación, en Editar plantilla en Application Composer, elija el botón Editar en Application Composer.

  3. En Application Composer, haga lo siguiente:

    1. En el código de la plantilla, en SecretRotationScheduleHostedRotationLambda, sustituya el valor para "functionName": "SecretsManagerTestRotationRDS" por un nuevo nombre de función, por ejemplo, en JSON, "functionName": "SecretsManagerTestRotationRDSupdated"

    2. Seleccione Actualizar plantilla.

    3. En el cuadro de diálogo Continuar a AWS CloudFormation, elija Confirmar y continuar a AWS CloudFormation.

  4. Continúe con el flujo de trabajo de la AWS CloudFormation pila y, a continuación, elija Enviar.

Opción 2: Actualice el tiempo de ejecución de la función de rotación existente mediante AWS CloudFormation

Cuando usa la consola de Secrets Manager para activar la rotación, Secrets Manager usa AWS CloudFormation para crear los recursos necesarios, incluida la función de Lambda de rotación. Si ha utilizado la consola para activar la rotación o ha creado la función de rotación mediante una AWS CloudFormation pila, puede utilizar la misma AWS CloudFormation pila para actualizar el tiempo de ejecución para la función de rotación.

Para buscar la AWS CloudFormation pila que creó la función de rotación

  • En la página de detalles de la función de Lambda, seleccione la pestaña Configuración, y elija Etiquetas. Vea el ARN junto a aws:cloudformation:stack-id.

    El nombre de la pila está incrustado en el ARN, como se muestra en el siguiente ejemplo.

    • ARN: arn:aws:cloudformation:us-west-2:408736277230:stack/SecretsManagerRDSMySQLRotationSingleUser5c2-SecretRotationScheduleHostedRotationLambda-3CUDHZMDMBO8/79fc9050-2eef-11ed-80f0-021fb13c0537

    • Nombre de pila: SecretsManagerRDSMySQLRotationSingleUser5c2-SecretRotationScheduleHostedRotationLambda

Para actualizar el tiempo de ejecución de una función de rotación (AWS CloudFormation)

  1. En AWS CloudFormation, busque la pila por su nombre y, a continuación, seleccione Actualizar.

    Si aparece un cuadro de diálogo en el que se recomienda actualizar la pila raíz, seleccione Ir a la pila raíz y, a continuación, elija Actualizar.

  2. En la página de Pila de actualizaciones, en Preparar plantilla, elija Editar en Application Composer y, a continuación, en Editar plantilla en Application Composer, elija el botón Editar en Application Composer.

  3. En Application Composer, haga lo siguiente:

    1. En la plantilla JSON, para SecretRotationScheduleHostedRotationLambda, en Properties, en Parameters, agregue "runtime": "python3.9".

    2. Seleccione Actualizar plantilla.

    3. En el cuadro de diálogo Continuar a AWS CloudFormation, elija Confirmar y continuar a AWS CloudFormation.

  4. Continúe con el flujo de trabajo de la AWS CloudFormation pila y, a continuación, elija Enviar.

Opción 3: Para AWS CDK los usuarios de, actualice la biblioteca de CDK

Si ha utilizado la versión AWS CDK anterior a la versión v2.94.0 para configurar la rotación de su secreto, puede actualizar la función de Lambda actualizándola a la versión v2.94.0 o una posterior. Para obtener más información, consulte Guía para desarrolladores de AWS Cloud Development Kit (AWS CDK) v2.

AWS Lambda rotación secreta con error PutSecretValue

Si utiliza un rol asumido o una rotación entre cuentas con Secrets Manager y encuentra un RotationFailed evento CloudTrail con el mensaje: LAMBDA_ARN.Lambda no SECRET_ARN creó la versión secreta pendiente de Secret. Quite AWSPENDING la etiqueta de ensayo y reinicie la rotación, tendrá que actualizar la función de Lambda VERSION_ID para usar el parámetro. RotationToken

Actualice la función de rotación Lambda para incluir RotationToken

  1. Descargar el código de la función de Lambda

    • Abra la consola Lambda

    • Seleccione Functions (Funciones) en el panel de navegación.

    • Seleccione su función de rotación secreta de Lambda para el nombre de la función

    • Para descargarla, elija una de las siguientes opciones: código de función .zip, AWS SAM archivo o ambos

    • Pulse Aceptar para guardar la función en su máquina local.

  2. Editar Lambda_handler

    Incluye el parámetro rotation_token en el paso create_secret para la rotación entre cuentas:

    
def lambda_handler(event, context):
    """Secrets Manager Rotation Template

    This is a template for creating an AWS Secrets Manager rotation lambda

    Args:
        event (dict): Lambda dictionary of event parameters. These keys must include the following:
            - SecretId: The secret ARN or identifier
            - ClientRequestToken: The ClientRequestToken of the secret version
            - Step: The rotation step (one of createSecret, setSecret, testSecret, or finishSecret)
            - RotationToken: the rotation token to put as parameter for PutSecretValue call

        context (LambdaContext): The Lambda runtime information

    Raises:
        ResourceNotFoundException: If the secret with the specified arn and stage does not exist

        ValueError: If the secret is not properly configured for rotation

        KeyError: If the event parameters do not contain the expected keys

    """
    arn = event['SecretId']
    token = event['ClientRequestToken']
    step = event['Step']
    # Add the rotation token
    rotation_token = event['RotationToken']

    # Setup the client
    service_client = boto3.client('secretsmanager', endpoint_url=os.environ['SECRETS_MANAGER_ENDPOINT'])

    # Make sure the version is staged correctly
    metadata = service_client.describe_secret(SecretId=arn)
    if not metadata['RotationEnabled']:
        logger.error("Secret %s is not enabled for rotation" % arn)
        raise ValueError("Secret %s is not enabled for rotation" % arn)
    versions = metadata['VersionIdsToStages']
    if token not in versions:
        logger.error("Secret version %s has no stage for rotation of secret %s." % (token, arn))
        raise ValueError("Secret version %s has no stage for rotation of secret %s." % (token, arn))
    if "AWSCURRENT" in versions[token]:
        logger.info("Secret version %s already set as AWSCURRENT for secret %s." % (token, arn))
        return
    elif "AWSPENDING" not in versions[token]:
        logger.error("Secret version %s not set as AWSPENDING for rotation of secret %s." % (token, arn))
        raise ValueError("Secret version %s not set as AWSPENDING for rotation of secret %s." % (token, arn))
    # Use rotation_token
    if step == "createSecret":
        create_secret(service_client, arn, token, rotation_token)

    elif step == "setSecret":
        set_secret(service_client, arn, token)
    
    elif step == "testSecret":
        test_secret(service_client, arn, token)
        
    elif step == "finishSecret":
        finish_secret(service_client, arn, token)
        
    else:
        raise ValueError("Invalid step parameter")

  3. Edita el código create_secret

    Revise la create_secret función para aceptar y usar el rotation_token parámetro:

    
# Add rotation_token to the function
def create_secret(service_client, arn, token, rotation_token):
"""Create the secret

This method first checks for the existence of a secret for the passed in token. If one does not exist, it will generate a
new secret and put it with the passed in token.

Args:
service_client (client): The secrets manager service client

arn (string): The secret ARN or other identifier

token (string): The ClientRequestToken associated with the secret version

rotation_token (string): the rotation token to put as parameter for PutSecretValue call

Raises:
ResourceNotFoundException: If the secret with the specified arn and stage does not exist

"""
# Make sure the current secret exists
service_client.get_secret_value(SecretId=arn, VersionStage="AWSCURRENT")

# Now try to get the secret version, if that fails, put a new secret
try:
service_client.get_secret_value(SecretId=arn, VersionId=token, VersionStage="AWSPENDING")
logger.info("createSecret: Successfully retrieved secret for %s." % arn)
except service_client.exceptions.ResourceNotFoundException:
# Get exclude characters from environment variable
exclude_characters = os.environ['EXCLUDE_CHARACTERS'] if 'EXCLUDE_CHARACTERS' in os.environ else '/@"\'\\'
# Generate a random password
passwd = service_client.get_random_password(ExcludeCharacters=exclude_characters)

# Put the secret, using rotation_token
service_client.put_secret_value(SecretId=arn, ClientRequestToken=token, SecretString=passwd['RandomPassword'], VersionStages=['AWSPENDING'], RotationToken=rotation_token)
logger.info("createSecret: Successfully put secret for ARN %s and version %s." % (arn, token))

  4. Cargue el código de la función de Lambda actualizado

    Tras actualizar el código de la función Lambda, cárguelo para rotar su secreto.

Si se producen errores de rotación secreta intermitentes y la función Lambda se queda atascada en un bucle de conjuntos, por ejemplo, CreateSecret entre SetSecret y, el problema puede estar relacionado con la configuración de simultaneidad.

Pasos de resolución de problemas de simultan

aviso

Si se establece el parámetro de simultaneidad aprovisionado en un valor inferior a 10, se puede producir una limitación debido a la insuficiencia de subprocesos de ejecución para la función Lambda. Para obtener más información, consulte Descripción de la simultaneidad reservada y la simultaneidad aprovisionada en la Guía para desarrolladores. AWS Lambda AWS Lambda

  1. Compruebe y ajuste la configuración de simultaneidad de Lambda:

    • Compruebe que no reserved_concurrent_executions esté demasiado bajo (por ejemplo, 1)

    • Si utiliza la simultaneidad reservada, configúrela en al menos 10

    • Considere la posibilidad de utilizar la simultaneidad sin reservas para una mayor flexibilidad

  2. Para simultaneidad aprovisionada:

    • No establezca el parámetro de simultaneidad aprovisionado de forma explícita (por ejemplo, en Terraform).

    • Si debe configurarlo, utilice un valor de al menos 10.

    • Pruébelo minuciosamente para asegurarse de que el valor elegido se adapte a su caso de uso.

  3. Supervisa y ajusta la simultaneidad:

    • Calcule la simultaneidad mediante esta fórmula: Simultaneidad = (media de solicitudes por segundo) * (duración media de las solicitudes en segundos). Para obtener más información, consulte Estimación de la simultaneidad reservada.

    • Observe y registre los valores durante las rotaciones para determinar la configuración de simultaneidad adecuada.

    • Tenga cuidado al establecer valores de simultaneidad bajos. Pueden provocar una ralentización si no hay suficientes subprocesos de ejecución disponibles.

Para obtener más información sobre la configuración de la simultaneidad Lambda, consulte Configuración de la simultaneidad reservada y Configuración de la simultaneidad aprovisionada en la Guía para desarrolladores. AWS Lambda