如何解決 AWS Lambda 的 KMSAccessDeniedException 錯誤?
我的 AWS Lambda 函數傳回「KMSAccessDeniedException」錯誤。
簡短描述
根據錯誤訊息更新 AWS Identity and Access Management (IAM) 身分的 AWS Key Management Service (AWS KMS) 許可。
**重要事項:**如果 AWS KMS key 和 IAM 角色屬於不同的 AWS 帳戶,則必須更新 IAM 政策和 AWS KMS key 政策。
如需 AWS KMS keys 和政策管理的詳細資訊,請參閱 AWS KMS keys。
解決方案
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請確保您使用的是最新的 AWS CLI 版本。
解決 "KMS Exception: UnrecognizedClientExceptionKMS Message" 錯誤
刪除 Lambda 函數的執行角色,然後使用相同的名稱,但使用不同的主體重新建立時,通常會發生下列錯誤:
Calling the invoke API action failed with this message: Lambda was unable to decrypt the environment variables because KMS access was denied. Please check the function's AWS KMS key settings. KMS Exception: UnrecognizedClientExceptionKMS Message: The security token included in the request is invalid.
若要解決此錯誤,您必須執行下列動作來重設函數執行角色的 AWS KMS 授權:
**注意:**建立和更新 Lambda 函數的 IAM 使用者必須具有使用 AWS KMS key 的許可。
1. 執行下列 AWS CLI 命令,以取得函數目前執行角色和 AWS KMS key 的 Amazon Resource Name (ARN):
**備註:**用您的函數名稱取代 yourFunctionName。
$ aws lambda get-function-configuration --function-name yourFunctionName
2. 執行下列其中一個動作來重設 AWS KMS 授權:
執行下列 update-function-configuration 命令,將函數的執行角色更新為不同的暫時值:
**重要事項:**將 temporaryValue 取代為暫時執行角色 ARN。
$ aws lambda update-function-configuration --function-name yourFunctionName --role temporaryValue
然後,執行下列命令,將函數的執行角色更新回原始的執行角色:
**重要事項:**將 originalValue 取代為原始執行角色的 ARN。
$ aws lambda update-function-configuration --function-name yourFunctionName --role originalValue
-或-
執行下列 update-function-configuration 命令,將函數的 AWS KMS key 更新為不同的暫時值:
**重要事項:**將 temporaryValue 取代為暫時 AWS KMS key ARN。若要使用預設服務金鑰,請將 kms-key arn 參數設定為 ""。
$ aws lambda update-function-configuration --function-name yourFunctionName --kms-key-arn temporaryValue
然後,執行下列命令,將函數的 AWS KMS key 更新回原始 AWS KMS key ARN:
**重要事項:**將 originalValue 取代為原始 AWS KMS key ARN。
$ aws lambda update-function-configuration --function-name yourFunctionName --kms-key-arn originalValue
如需詳細資訊,請參閱 AWS KMS 中的金鑰政策。
解決 "KMS Exception: AccessDeniedException KMS Message" 錯誤
下列錯誤表示您的 IAM 身分沒有執行 kms:Decrypt API 動作所需的許可:
Lambda was unable to decrypt your environment variables because the KMS access was denied. Please check your KMS permissions. KMS Exception: AccessDeniedException KMS Message: The ciphertext refers to a customer master key that does not exist, does not exist in this region, or you are not allowed to access.
若要解決此錯誤,請將下列政策聲明新增至您的 IAM 使用者或角色:
**重要事項:**將 "your-KMS-key-arn" 取代為 AWS KMS key ARN。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "your-KMS-key-arn" } ] }
如需指示,請參閱新增許可至使用者 (主控台),或根據您的使用案例,修改角色許可政策 (主控台)。
解決 "You are not authorized to perform" 錯誤
下列錯誤表示您的 IAM 身分沒有存取 AWS KMS key 所需的許可之一:
You are not authorized to perform: kms:Encrypt.
You are not authorized to perform: kms:CreateGrant.
User: user-arn is not authorized to perform: kms:ListAliases on resource: * with an explicit deny.
**備註:**如果您使用預設金鑰政策,則 IAM 身分識別或函數的執行角色不需要 AWS KMS 許可。
若要解決這些類型的錯誤,請確認您的 IAM 使用者或角色具有執行下列 AWS KMS API 動作所需的許可:
如需指示,請參閱新增許可至使用者 (主控台),或根據您的使用案例,修改角色許可政策 (主控台)。
授予存取客戶受管 AWS KMS key 所需許可的 IAM 政策聲明範例
重要事項:****資源值必須是 "*"。kms:ListAliases 動作不支援低階許可。此外,請確定您將 "your-kms-key-arn" 取代為您的 AWS KMS key ARN。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:CreateGrant" ], "Resource": "your-kms-key-arn" }, { "Sid": "statement2", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" } ] }
解決 "Access to KMS is not allowed" 錯誤
下列錯誤表示 IAM 實體沒有取得 AWS Secrets Manager 機密的許可:
Access to KMS is not allowed (Service: AWSSecretsManager; Status Code: 400; Error Code: AccessDeniedException; Request ID: 123a4bcd-56e7-89fg-hij0-1kl2m3456n78)
確保您的 IAM 使用者或角色具有執行下列 AWS KMS API 動作所需的許可:
如需詳細資訊,請參閱如何解決存取加密 AWS Secrets Manager 機密的問題?
相關資訊
相關內容
- 已提問 1 年前lg...
- 已提問 1 年前lg...
- AWS 官方已更新 3 個月前
- AWS 官方已更新 3 年前