在 Prisma Cloud 中的 AWS 云入门期间验证 S3 配置中的存储桶路径时出现错误“密文引用的客户主密钥不存在、不存在于此区域或您无权访问”

在 Prisma Cloud 中的 AWS 云入门期间验证 S3 配置中的存储桶路径时出现错误“密文引用的客户主密钥不存在、不存在于此区域或您无权访问”

941
Created On 07/02/23 02:17 AM - Last Modified 01/03/25 06:16 AM


Symptom


  • 在 Prisma Cloud 中的 AWS Cloud Onboarding 期间验证 S3 配置中的存储桶路径时出现以下错误

image.png

Environment


  • Prisma Cloud 企业版
  • AWS

Cause


  • 存储桶路径中提到的文件夹使用了不同的 KMS 密钥,并且一个或多个文件夹没有日志记录角色的访问权限
例子:
  • 有人在 S3 存储桶“bucket-XYZ”内为VPC-A 创建了 Folder1。存储桶分配有 SSE-KMS 密钥“Key-1”,Folder1 分配有“Key-2”。
  • 如果 Prisma Cloud 使用的日志角色缺少访问密钥的权限,或者日志角色未在 AWS KMS 上添加为“密钥用户”(任何一方的权限就足够了),则可能会遇到此错误。

Resolution


  • 确保所有 KMS 密钥(用于路径的文件夹)都已添加日志记录角色


或者
  • 在 AWS 上为 Prisma Cloud 配置的日志角色模板将具有“解密”权限中提到的所有密钥(以 , 分隔)。如果找不到用于文件夹加密的密钥,可以在“资源”中使用 * 进行测试。
注意: AWS 当前在存储桶级别配置的所有文件夹中显示相同的密钥,即使在文件夹级别配置了不同的密钥



如果上述解决方案无法解决错误,请联系Palo Alto Networks技术支持

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kICDCA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language