AWS Systems Manager Incident Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS Systems Manager Incident Manager 可用性变更](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Systems Manager 事件管理器故障排除
<a name="troubleshooting"></a>

如果您在使用 S AWS ystems Manager 事件管理器时遇到问题，可以根据我们的最佳实践使用以下信息来解决问题。如果以下信息未涵盖您遇到的问题，或者在您尝试解决问题后问题仍然存在，请联系[AWS 支持](https://aws.amazon.com/premiumsupport/)。

**Topics**
+ [错误消息：`ValidationException – We were unable to validate the AWS Secrets Manager secret`](#troubleshooting-response-plans-pagerduty)
+ [对其他问题进行故障排除](#troubleshooting-problem3)

## 错误消息：`ValidationException – We were unable to validate the AWS Secrets Manager secret`
<a name="troubleshooting-response-plans-pagerduty"></a>

**问题 1**：创建响应计划的 AWS Identity and Access Management (IAM) 身份（用户、角色或群组）没有 `secretsmanager:GetSecretValue` IAM 权限。IAM 身份必须拥有此权限才能验证 Secrets Manager 密钥。
+ **解决方案**：将缺少的 `secretsmanager:GetSecretValue` 权限添加到创建响应计划的 IAM 身份的 IAM 策略中。有关信息，请参阅《IAM 用户指南》**中的[添加 IAM 身份权限（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)或[添加 IAM 策略 (AWS CLI)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policy-cli)。

**问题 2**：该密钥没有附加允许 IAM 身份运行 [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html) 操作的基于资源的策略，或者基于资源的策略拒绝给予该身份权限。
+ **解决方案**：在密钥的基于资源的策略中创建或添加一条 `Allow` 声明，授予 IAM 身份的 `secrets:GetSecretValue` 权限。或者，如果使用的 `Deny` 语句包含 IAM 身份，则更新策略，以便该身份可以运行该操作。有关信息，请参阅《*AWS Secrets Manager 用户指南》*中的[为 AWS Secrets Manager 密钥附加权限策略](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html)。

**问题 3**：这些密钥没有附加允许访问 Incident Manager 服务主体 `ssm-incidents.amazonaws.com` 的基于资源的策略。
+ **解决方案**：创建或更新密钥的基于资源的策略，并包含以下权限：

  ```
  {
      "Effect": "Allow",
      "Principal": {
          "Service": ["ssm-incidents.amazonaws.com"]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
  }
  ```

**问题 4**： AWS KMS key 选定加密密钥的不是客户管理的密钥，或者选定的客户托管密钥不向事件管理器服务委托人提供 IAM 权限`kms:Decrypt`。`kms:GenerateDataKey*`或者，创建响应计划的 IAM 身份可能没有 IAM 权限[https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)。
+ **解决方案**：确保您满足主题[将 PagerDuty 访问凭证存储在 AWS Secrets Manager 密钥中](integrations-pagerduty-secret.md)中**先决条件**下所述的要求。

**问题 5**：包含通用访问 REST API 密钥或用户令牌 REST API 密钥的密钥 ID 无效。
+ **解决方案**：确保您正确输入了 Secrets Manager 密钥的 ID，不留空格。你必须在存储你要使用的密钥的同一个 AWS 区域 地方工作。您不能使用已删除的密钥。

**问题 6**：在极少数情况下，Secrets Manager 服务可能会遇到问题，或者 Incident Manager 可能无法与其通信。
+ **解决方案**：请等待几分钟，然后重试。查看[AWS Health Dashboard](https://phd.aws.amazon.com/)是否存在可能影响任一服务的问题。

## 对其他问题进行故障排除
<a name="troubleshooting-problem3"></a>

如果前面的步骤未能解决您的问题，则可以从以下资源中获得更多帮助：
+ 有关访问 [Incident Manager 控制台](https://console.aws.amazon.com/systems-manager/incidents/home)时 Incident Manager 特有的 IAM 问题，请参阅 [对 AWS Systems Manager Incident Manager 身份和访问进行故障排除](security_iam_troubleshoot.md)。
+ 有关访问时的一般身份验证和授权问题 AWS 管理控制台，请参阅 IAM *用户指南中的 IAM* [疑难解答](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot.html)