简短描述
-----------------

[AWS KMS API 操作错误](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html#API_Decrypt_Errors) **InvalidCiphertextException** 表示解密请求失败，因为 Lambda 更新了加密环境变量的方式。Lambda 将函数名称作为对 AWS KMS 进行加密调用的[加密上下文](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)进行传递。对于在此更改之前创建的解密函数，必须更新用于解密的代码，并将 Lambda 函数名称作为加密上下文传递。

解决方法
----------

要通过针对具有加密上下文的特定 SDK 对 AWS KMS 进行解密调用来获取代码，请完成以下步骤：

1. 打开 [Lambda 控制台](https://console.aws.amazon.com/lambda/)，然后选择**函数**。
2. 在**函数名称中**，选择 Lambda 函数，然后选择**配置**选项卡。
3. 对于**环境变量**，选择**编辑**，然后选择**添加环境变量**。
4. 输入密钥和值，然后展开**加密配置**。
5. 选择**在传输中启用加密辅助标记**，然后选择**加密**。
6. 展开**解密密钥代码段**，然后输入与以下内容类似的代码片段：

```plaintext
DECRYPTED = boto3.client('kms').decrypt(    CiphertextBlob=b64decode(ENCRYPTED),
    EncryptionContext={'LambdaFunctionName': os.environ['AWS_LAMBDA_FUNCTION_NAME']}
)['Plaintext'].decode('utf-8')

```

使用前面的代码片段[解密](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/decrypt.html)使用加密助手加密的新环境变量。

请确保[重新加密](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/re-encrypt.html)旧的环境变量，以便它们与新的环境变量一起使用。

有关详细信息，请参阅[使用 AWS Lambda 环境变量](https://docs.aws.amazon.com/lambda/latest/dg/configuration-envvars.html)。

相关信息
-------------------

[在调用 AWS KMS API 时，我该如何验证是否使用了经过身份验证的加密及关联数据加密？](https://repost.aws/zh-Hans/knowledge-center/kms-encryption-context)

我试图使用 AWS Lambda 加密助手来解密 AWS Key Management Service（AWS KMS）的环境变量，但收到了错误“InvalidCipherTexception”。

解决 AWS KMS 解密错误“InvalidCipherTexception”

如何解决 AWS KMS 解密错误“InvalidCiphertexException”？

安全、身份和合规性

推出适用于 Amazon S3 的 Amazon GuardDuty 恶意软件保护

我如何在 AWS KMS 中按区域列出 KMS 密钥的授予信息和主体？

如何验证具有数据加密的认证加密是否用于 AWS KMS API 调用？

为什么我无法在 AWS KMS 中读取或更新 AWS KMS 密钥策略？

为什么要向我收取 AWS KMS 密钥的费用？

KMS GUI中没有显示默认的EBS密钥

DynamoDB-KMS-从AWS托管CMK返回default状态对运行服务的影响是什么？

S3 SSE-KMS 使用哪种加密算法？

MSK SCRAM KMS Key 最小权限策略

无法删除 KMS KEY。需要帮助。

如何解决 AWS KMS 解密错误“InvalidCiphertexException”？

简短描述

解决方法

相关信息

相关内容