如何解決 AWS Lambda 的 KMSAccessDeniedException 錯誤?

3 分的閱讀內容
0

我的 AWS Lambda 函數傳回「KMSAccessDeniedException」錯誤。

簡短描述

根據錯誤訊息更新 AWS Identity and Access Management (IAM) 身分的 AWS Key Management Service (AWS KMS) 許可

**重要事項:**如果 AWS KMS key 和 IAM 角色屬於不同的 AWS 帳戶,則必須更新 IAM 政策和 AWS KMS key 政策

如需 AWS KMS keys 和政策管理的詳細資訊,請參閱 AWS KMS keys

解決方案

**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請確保您使用的是最新的 AWS CLI 版本

解決 "KMS Exception: UnrecognizedClientExceptionKMS Message" 錯誤

刪除 Lambda 函數的執行角色,然後使用相同的名稱,但使用不同的主體重新建立時,通常會發生下列錯誤:

Calling the invoke API action failed with this message: Lambda was unable to decrypt the environment variables because KMS access was denied. Please check the function's AWS KMS key settings. KMS Exception: UnrecognizedClientExceptionKMS Message: The security token included in the request is invalid.

若要解決此錯誤,您必須執行下列動作來重設函數執行角色的 AWS KMS 授權

**注意:**建立和更新 Lambda 函數的 IAM 使用者必須具有使用 AWS KMS key 的許可

1.    執行下列 AWS CLI 命令,以取得函數目前執行角色和 AWS KMS key 的 Amazon Resource Name (ARN):

**備註:**用您的函數名稱取代 yourFunctionName

$ aws lambda get-function-configuration --function-name yourFunctionName

2.    執行下列其中一個動作來重設 AWS KMS 授權:

執行下列 update-function-configuration 命令,將函數的執行角色更新為不同的暫時值:

**重要事項:**將 temporaryValue 取代為暫時執行角色 ARN。

$ aws lambda update-function-configuration --function-name yourFunctionName --role temporaryValue

然後,執行下列命令,將函數的執行角色更新回原始的執行角色:

**重要事項:**將 originalValue 取代為原始執行角色的 ARN。

$ aws lambda update-function-configuration --function-name yourFunctionName --role originalValue

-或-

執行下列 update-function-configuration 命令,將函數的 AWS KMS key 更新為不同的暫時值:

**重要事項:**將 temporaryValue 取代為暫時 AWS KMS key ARN。若要使用預設服務金鑰,請將 kms-key arn 參數設定為 ""

$ aws lambda update-function-configuration --function-name yourFunctionName --kms-key-arn temporaryValue

然後,執行下列命令,將函數的 AWS KMS key 更新回原始 AWS KMS key ARN:

**重要事項:**將 originalValue 取代為原始 AWS KMS key ARN。

$ aws lambda update-function-configuration --function-name yourFunctionName --kms-key-arn originalValue

如需詳細資訊,請參閱 AWS KMS 中的金鑰政策

解決 "KMS Exception: AccessDeniedException KMS Message" 錯誤

下列錯誤表示您的 IAM 身分沒有執行 kms:Decrypt API 動作所需的許可:

Lambda was unable to decrypt your environment variables because the KMS access was denied. Please check your KMS permissions. KMS Exception: AccessDeniedException KMS Message: The ciphertext refers to a customer master key that does not exist, does not exist in this region, or you are not allowed to access.

若要解決此錯誤,請將下列政策聲明新增至您的 IAM 使用者或角色:

**重要事項:**將 "your-KMS-key-arn" 取代為 AWS KMS key ARN。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": "kms:Decrypt",
      "Resource": "your-KMS-key-arn"
    }
  ]
}

如需指示,請參閱新增許可至使用者 (主控台),或根據您的使用案例,修改角色許可政策 (主控台)

解決 "You are not authorized to perform" 錯誤

下列錯誤表示您的 IAM 身分沒有存取 AWS KMS key 所需的許可之一:

You are not authorized to perform: kms:Encrypt.
You are not authorized to perform: kms:CreateGrant.
User: user-arn is not authorized to perform: kms:ListAliases on resource: * with an explicit deny.

**備註:**如果您使用預設金鑰政策,則 IAM 身分識別或函數的執行角色不需要 AWS KMS 許可。

若要解決這些類型的錯誤,請確認您的 IAM 使用者或角色具有執行下列 AWS KMS API 動作所需的許可:

如需指示,請參閱新增許可至使用者 (主控台),或根據您的使用案例,修改角色許可政策 (主控台)

授予存取客戶受管 AWS KMS key 所需許可的 IAM 政策聲明範例

重要事項:****資源值必須是 "*"kms:ListAliases 動作不支援低階許可。此外,請確定您將 "your-kms-key-arn" 取代為您的 AWS KMS key ARN。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "statement1",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:CreateGrant"
      ],
      "Resource": "your-kms-key-arn"
    },
    {
      "Sid": "statement2",
      "Effect": "Allow",
      "Action": "kms:ListAliases",
      "Resource": "*"
    }
  ]
}

解決 "Access to KMS is not allowed" 錯誤

下列錯誤表示 IAM 實體沒有取得 AWS Secrets Manager 機密的許可:

Access to KMS is not allowed (Service: AWSSecretsManager; Status Code: 400; Error Code: AccessDeniedException; Request ID: 123a4bcd-56e7-89fg-hij0-1kl2m3456n78)

確保您的 IAM 使用者或角色具有執行下列 AWS KMS API 動作所需的許可:

如需詳細資訊,請參閱如何解決存取加密 AWS Secrets Manager 機密的問題?


相關資訊

如何對來自 AWS Lambda 的 HTTP 502 和 HTTP 500 狀態碼 (伺服器端) 錯誤進行疑難排解?

如何對 Lambda 函數故障進行疑難排解?

AWS 官方
AWS 官方已更新 1 年前