我手动创建了一个轮换函数并将其链接到 Secret Manager,我已成功启用轮换,但是当我在 CloudWatch 中检查此轮换 lambda 的日志时,它显示错误:
[ERROR] ClientError: An error occurred (AccessDeniedException)
when calling the DescribeSecret operation:
User: arn:awsxxxxxxx:assumed-role/xxxxx-lambda-exec-role/
MyLambdaName is not authorized to perform: secretsmanager:DescribeSecret
on resource: MysecretARN
我知道我的执行角色有问题,所以我检查了附加到该角色的策略,它有:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"lambda:InvokeFunction",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecretVersionStage",
"secretsmanager:RotateSecret"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:xxx",
"arn:aws:lambda:us-east-1:xxx"
]
}
]
}
我还将“AWSLambdaBasicExecutionRole”附加到我的执行角色中,我是否还缺少其他内容?为什么我一直收到这个错误,我一直在搞这整个旋转的事情,筋疲力尽!请帮忙
我还尝试添加一些 KMS 操作,但仍然遇到相同的错误...我已经为此工作了几天,AWS 文档非常混乱,有些甚至误导我走向完全不同的方向。 .. 为什么配置一个该死的旋转这么复杂....(哭)