[英]Why does AWS CloudWatch encrypted log groups breaks session manager?
最近附加了来自 AWS KMS 的密钥,用于加密 AWS Systems Manager Session Manager 的 CloudWatch 日志组。 现在我无法连接到任何 session。
这是什么错误以及如何解决?
由于以下原因,您的 session 已被终止: ----------ERROR------- 启动握手时遇到错误。 Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: 密文指的是不存在的客户主密钥,在该区域不存在,或者您不被允许访问。 状态码:400,请求ID:
附加到日志组时,密钥肯定存在并且工作正常。 Session Manager 在尝试加密它们之前也工作正常。 我需要在某处添加到策略中的额外权限吗?
根据评论。
该问题是由使用的实例角色中的不正确权限引起的。
将角色中的策略从AmazonSSMManagedInstanceCore更改为AmazonEC2RoleforSSM解决了这个问题。
需要修改权限。
Select 您正在使用的服务的权限设置中的角色 您需要添加策略。
请在政策中添加以下信息。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
==================================================== ======================
在我的情况下,执行 Lambda function 时发生上述错误。
我通过添加这样的策略来解决它:
这是AWS提供的解决方案,本质上是向您的实例配置文件添加权限以在Cloudwatch上创建加密日志,当然,您还需要添加权限以解密session,如上面一些答案中所述。 请注意,出于安全原因,您应尽可能获得 scope 权限。
使用 AWS 系统 Session 管理器的加密 CloudWatch 日志组的 KMS 权限
[英]KMS permissions for encrypted CloudWatch LogGroups with AWS Systems Session Manager
摄取的 AWS CloudWatch 差异日志数据和日志组的实际大小
[英]AWS CloudWatch difference log data ingested and actual size of Log Groups
AWS Cloudwatch Insights 如何使用多个日志组进行查询
[英]AWS Cloudwatch Insights how to query using multiple log groups
如何使用 CloudFormation 为多个日志组创建 AWS CloudWatch 订阅过滤器
[英]How to create AWS CloudWatch Subscription Filters for multiple Log Groups using CloudFormation
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.