選択したリージョンに同じ名前のシークレットがある KMS キーにレプリケーションを完成させるためのアクセス許可がない KMS キーが無効になっているか、見つかりませんレプリケーションを行うリージョンが有効化されていない

AWS Secrets Manager レプリケーションのトラブルシューティング

AWS Secrets Manager レプリケーションは、さまざまな理由で失敗することがあります。シークレットのレプリケートに失敗した理由を確認するには、次のいずれかを実行します。

DescribeSecret API オペレーションを呼び出す
AWS CloudTrail イベントの確認

レプリケーションが失敗した場合:

使用可能なシークレットバージョンがない場合、Secrets Manager はレプリカリージョンからシークレットを削除します。
正常にレプリケートされたシークレットバージョンがある場合は、RemoveRegionsFromReplication API オペレーションを使用して明示的に削除するまで、レプリカリージョンに残ります。

以下のセクションでは、レプリケーションの失敗の一般的な理由について説明します。

選択したリージョンに同じ名前のシークレットがある

この問題を解決するには、レプリカリージョンにある重複した名前のシークレットを上書きします。レプリケーションを再試行し、[レプリケーションを再試行] ダイアログボックスで [上書き]をクリックします。

KMS キーにレプリケーションを完成させるためのアクセス許可がない

Secrets Manager は、レプリカリージョンにある新しい KMS キーを使用して再暗号化する前に、まずシークレットを復号します。プライマリリージョンの暗号化キーに対する kms:Decrypt アクセス許可がない場合、このエラーが発生します。aws/secretsmanager 以外の KMS キーでレプリケートされたシークレットを暗号化するには、キーに kms:GenerateDataKey と kms:Encrypt が必要です。「KMS キーのアクセス許可」を参照してください。

KMS キーが無効になっているか、見つかりません

プライマリリージョンの暗号化キーが無効化または削除されている場合、Secrets Manager はシークレットをレプリケートできません。このエラーは、暗号化キーを変更した場合でも、無効化または削除された暗号化キーで暗号化されたカスタムラベルが付いたバージョンがシークレットにある場合に発生することがあります。Secrets Manager が暗号化を行う方法については、「でのシークレットの暗号化と復号 AWS Secrets Manager」を参照してください。この問題を回避するには、Secrets Manager が現在の暗号化キーで暗号化するようにシークレットバージョンを再作成できます。詳細については、「シークレットの暗号化キーを変更する」を参照してください。その後でレプリケーションを再試行します。


aws secretsmanager put-secret-value \
  --secret-id testDescriptionUpdate \
  --secret-string "SecretValue" \
  --version-stages "MyCustomLabel"

レプリケーションを行うリージョンが有効化されていない

リージョンを有効化する方法については、「AWS Account Management リファレンスガイド」の「Managing AWS Regions」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

レプリケーションを防止する

シークレットの取得