Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Pemecahan masalah AWS Secrets Manager
<a name="troubleshoot"></a>

Gunakan informasi di sini untuk membantu Anda mendiagnosis dan memperbaiki masalah yang mungkin Anda temui saat bekerja dengan Secrets Manager.

Untuk masalah yang terkait dengan rotasi, lihat[Memecahkan masalah rotasi AWS Secrets Manager](troubleshoot_rotation.md).

**Topics**
+ [Pesan “Akses ditolak”](#troubleshoot_general_access-denied-service)
+ [“Akses ditolak” untuk kredensil keamanan sementara](#troubleshoot_general_access-denied-temp-creds)
+ [Perubahan yang saya buat tidak selalu langsung terlihat.](#troubleshoot_general_eventual-consistency)
+ [“Tidak dapat menghasilkan kunci data dengan kunci KMS asimetris” saat membuat rahasia](#asymmetrical-key)
+ [Operasi AWS CLI atau AWS SDK tidak dapat menemukan rahasia saya dari ARN sebagian](#ARN_secretnamehyphen)
+ [Rahasia ini dikelola oleh AWS layanan, dan Anda harus menggunakan layanan itu untuk memperbaruinya.](#troubleshoot-service-linked-secrets)
+ [Impor modul Python gagal saat menggunakan `Transform: AWS::SecretsManager-2024-09-16`](#troubleshoot-python-import)

## Pesan “Akses ditolak”
<a name="troubleshoot_general_access-denied-service"></a>

Saat melakukan panggilan API seperti GetSecretValue atau CreateSecret ke Secrets Manager, Anda harus memiliki izin IAM untuk melakukan panggilan tersebut. Saat Anda menggunakan konsol, konsol melakukan panggilan API yang sama atas nama Anda, jadi Anda juga harus memiliki izin IAM. Administrator dapat memberikan izin dengan melampirkan kebijakan IAM ke pengguna IAM Anda, atau ke grup tempat Anda menjadi anggota. Jika pernyataan kebijakan yang memberikan izin tersebut menyertakan syarat apapun, seperti batas waktu hari atau alamat IP, maka Anda juga harus memenuhi persyaratan tersebut ketika Anda mengirim permintaan. Untuk informasi tentang melihat atau mengubah kebijakan untuk pengguna, grup, atau peran IAM, lihat [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) dalam *Panduan Pengguna IAM*. Untuk informasi tentang izin yang diperlukan untuk Secrets Manager, lihat[Otentikasi dan kontrol akses untuk AWS Secrets Manager](auth-and-access.md).

Jika Anda menandatangani permintaan API secara manual, tanpa menggunakan [AWS SDK](https://aws.amazon.com/tools/), pastikan Anda [menandatangani permintaan](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html) dengan benar.

## “Akses ditolak” untuk kredensil keamanan sementara
<a name="troubleshoot_general_access-denied-temp-creds"></a>

Verifikasi pengguna IAM atau peran yang Anda gunakan untuk membuat permintaan memiliki izin yang benar. Izin untuk kredensil keamanan sementara berasal dari pengguna atau peran IAM. Ini berarti izin terbatas pada yang diberikan kepada pengguna atau peran IAM. Untuk informasi lebih lanjut tentang bagaiman izin kredensial keamanan sementara ditentukan, lihat [Mengontrol Izin untuk Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access.html) dalam *Panduan Pengguna IAM*.

Verifikasi bahwa permintaan Anda ditandatangani dengan benar dan permintaan tersebut terbentuk dengan baik. *Untuk detailnya, lihat dokumentasi [toolkit](https://aws.amazon.com/tools/) untuk SDK yang Anda pilih, atau [Menggunakan Kredensial Keamanan Sementara untuk Meminta Akses ke AWS Sumber Daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) di Panduan Pengguna IAM.*

Verifikasikan bahwa kredensial keamanan sementara Anda belum kedaluwarsa. Untuk informasi lebih lanjut, lihat [Meminta Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html) dalam *Panduan Pengguna IAM*. 

Untuk informasi tentang izin yang diperlukan untuk Secrets Manager, lihat[Otentikasi dan kontrol akses untuk AWS Secrets Manager](auth-and-access.md).

## Perubahan yang saya buat tidak selalu langsung terlihat.
<a name="troubleshoot_general_eventual-consistency"></a>

Secrets Manager menggunakan model komputasi terdistribusi yang disebut [konsistensi akhirnya](https://wikipedia.org/wiki/Eventual_consistency). Setiap perubahan yang Anda buat di Secrets Manager (atau AWS layanan lainnya) membutuhkan waktu untuk terlihat dari semua titik akhir yang mungkin. Beberapa hasil penundaan dari waktu yang diperlukan untuk mengirim data dari server ke server, dari zona replikasi ke zona replikasi, dan dari wilayah ke wilayah di seluruh dunia. Secrets Manager juga menggunakan caching untuk meningkatkan kinerja, tetapi dalam beberapa kasus ini dapat menambah waktu. Perubahan mungkin tidak terlihat sampai waktu data yang disimpan di-cache sebelumnya habis.

Rancang aplikasi global Anda untuk memperhitungkan potensi penundaan ini. Juga, pastikan bahwa mereka bekerja seperti yang diharapkan, bahkan ketika perubahan yang dibuat di satu lokasi tidak langsung terlihat di lokasi lain.

Untuk informasi selengkapnya tentang bagaimana beberapa AWS layanan lain dipengaruhi oleh konsistensi akhirnya, lihat:
+ [Mengelola konsistensi data](https://docs.aws.amazon.com/redshift/latest/dg/managing-data-consistency.html) dalam Panduan Pengembang *Database Amazon Redshift*
+ [Model Konsistensi Data Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Introduction.html#ConsistencyModel) di Panduan Pengguna *Layanan Penyimpanan Sederhana Amazon*
+ [Memastikan Konsistensi Saat Menggunakan Amazon S3 dan Amazon EMR untuk Alur Kerja ETL](https://aws.amazon.com/blogs/big-data/ensuring-consistency-when-using-amazon-s3-and-amazon-elastic-mapreduce-for-etl-workflows/) di Blog Big Data AWS 
+ *Konsistensi Akhirnya [Amazon EC2 dalam Referensi](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/query-api-troubleshooting.html#eventual-consistency) API Amazon EC2*

## “Tidak dapat menghasilkan kunci data dengan kunci KMS asimetris” saat membuat rahasia
<a name="asymmetrical-key"></a>

Secrets Manager menggunakan [kunci KMS enkripsi simetris](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#symmetric-cmks) yang terkait dengan rahasia untuk menghasilkan kunci data untuk setiap nilai rahasia. Anda tidak dapat menggunakan tombol KMS asimetris. Verifikasi Anda menggunakan kunci KMS enkripsi simetris alih-alih kunci KMS asimetris. Untuk petunjuk, lihat [Mengidentifikasi kunci KMS asimetris](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html).

## Operasi AWS CLI atau AWS SDK tidak dapat menemukan rahasia saya dari ARN sebagian
<a name="ARN_secretnamehyphen"></a>

Dalam banyak kasus, Secrets Manager dapat menemukan rahasia Anda dari bagian ARN daripada ARN penuh. Namun, jika nama rahasia Anda berakhir dengan tanda hubung diikuti oleh enam karakter, Secrets Manager mungkin tidak dapat menemukan rahasia hanya dari sebagian ARN. Sebagai gantinya, kami sarankan Anda menggunakan ARN lengkap atau nama rahasianya.

**Lebih detail**

Secrets Manager mencakup enam karakter acak di akhir nama rahasia untuk membantu memastikan bahwa ARN rahasia itu unik. Jika rahasia asli dihapus, dan kemudian rahasia baru dibuat dengan nama yang sama, kedua rahasia memiliki ARN yang berbeda karena karakter ini. Pengguna dengan akses ke rahasia lama tidak secara otomatis mendapatkan akses ke rahasia baru karena ARN berbeda.

Secrets Manager membangun ARN untuk rahasia dengan Region, akun, nama rahasia, dan kemudian tanda hubung dan enam karakter lagi, sebagai berikut:

```
arn:aws:secretsmanager:us-east-2:111122223333:secret:{{SecretName}}-abcdef
```

Jika nama rahasia Anda diakhiri dengan tanda hubung dan enam karakter, hanya menggunakan sebagian dari ARN dapat muncul ke Secrets Manager seolah-olah Anda menentukan ARN lengkap. Misalnya, Anda mungkin memiliki rahasia bernama `MySecret-abcdef` ARN

`arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef-nutBrk`

Jika Anda memanggil operasi berikut, yang hanya menggunakan bagian dari ARN rahasia, maka Secrets Manager mungkin tidak menemukan rahasianya. 

```
$ aws secretsmanager describe-secret --secret-id arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret-abcdef
```

## Rahasia ini dikelola oleh AWS layanan, dan Anda harus menggunakan layanan itu untuk memperbaruinya.
<a name="troubleshoot-service-linked-secrets"></a>

Jika Anda menemukan pesan ini saat mencoba memodifikasi rahasia, rahasia hanya dapat diperbarui dengan menggunakan layanan pengelolaan yang tercantum dalam pesan. Untuk informasi selengkapnya, lihat [AWS Secrets Manager rahasia yang dikelola oleh AWS layanan lain](service-linked-secrets.md).

Untuk menentukan siapa yang mengelola rahasia, Anda dapat meninjau nama rahasia. Rahasia yang dikelola oleh layanan lain diawali dengan ID layanan tersebut. Atau, di AWS CLI, panggil [deskripsikan-rahasia](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html), dan kemudian tinjau bidangnya. `OwningService` 

## Impor modul Python gagal saat menggunakan `Transform: AWS::SecretsManager-2024-09-16`
<a name="troubleshoot-python-import"></a>

Jika Anda menggunakan Transform: `AWS::SecretsManager-2024-09-16` dan mengalami kegagalan impor modul Python saat fungsi Lambda rotasi Anda berjalan, masalah kemungkinan disebabkan oleh nilai yang tidak kompatibel. `Runtime` Dengan versi transformasi ini, AWS CloudFormation mengelola versi runtime, kode, dan file objek bersama untuk Anda. Anda tidak perlu mengelolanya sendiri.