最近附加了来自 AWS KMS 的密钥,用于加密 AWS Systems Manager Session Manager 的 CloudWatch 日志组。现在我无法连接到任何会话。
这是什么错误以及如何解决?
由于以下原因,您的会话已终止: ----------ERROR------- 启动握手时遇到错误。Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: 密文指的是不存在的客户主密钥,在该区域不存在,或者您不被允许访问。状态码:400,请求ID:
附加到日志组时,密钥肯定存在并且工作正常。会话管理器在尝试加密它们之前也运行良好。我需要在某处添加到策略中的额外权限吗?
根据评论。
该问题是由使用的实例角色中的不正确权限引起的。
改变角色中的政策 AmazonSSMManagedInstanceCore以AmazonEC2RoleforSSM 解决问题。
需要修改权限。
从您正在使用的服务的权限设置中选择一个角色 您需要添加一个策略。
请在政策中添加以下信息。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
==================================================== ======================
就我而言,执行 Lambda 函数时发生了上述错误。
我通过添加这样的策略来解决它:
