copyright: years: 2020, 2025 lastupdated: "2025-09-06"
keywords: Secrets Manager 的已知问题,以及 Secrets Manager
subcollection: secrets-manager
已知问题和限制
IBM Cloud® Secrets Manager 包含以下可能影响您体验的已知问题和限制。
已知问题
查看在使用 Secrets Manager时可能迂到的以下已知问题。
| 问题 | 变通方法 |
|---|---|
| 无法使用相同名称创建同一类型的多个私钥。 | 无法创建多个具有相同名称的相同类型的私钥。 此限制在实例级别适用。 要在实例中的多个私钥组中组织相同类型的相似私钥,请尝试向这些私钥的名称添加前缀或后缀。 |
| 无法在私钥组之间传输私钥。 | 如果您不小心将私钥分配给错误的私钥组,或者如果您不希望私钥属于缺省私钥组,那么必须删除该私钥并创建新的私钥。 |
| 与 IAM 私钥关联的 API 密钥在生成后立即无效。 | 如果您具有调用 Secrets Manager API 以获取 IAM 私钥的 API 密钥的自动化,请添加 2 秒的等待延迟,以允许 IAM 识别新的 API 密钥。 |
| 具有生存时间 (TTL) 的 IAM 凭证不会立即到期。 | 在具有 TTL 的私钥达到其租赁持续时间结束后,期望在 IAM 删除私钥的关联服务标识之前 1-2 分钟的容差。 |
| 拥有 "作家或 "经理服务访问权限的用户在使用 "Secrets Manager用户界面时,无法创建某些类型的机密。 | 如果您拥有 Viewer 平台访问权限和 Writer 或 Manager 服务访问权限,且该权限的作用域为Secrets Manager服务秘密组,则可能无法在Secrets Manager仪表板中创建需要引擎配置(例如 IAM 凭据、公共证书或私人证书)的秘密。 作为一种变通方法,您可以使用 "Secrets ManagerCLI 插件、API 或 SDK 来管理这些秘密类型。 |
| 保险库文件的社区插件不受支持。 | 除非针对 Secrets Manager 支持的保密引擎编写,否则无法将 Vault 的社区插件与 Secrets Manager 集成。 |
| 删除服务实例时,不会从 IAM 中删除 API 密钥。 | 如果您具有由 IAM 凭证私钥引擎生成的服务标识或 API 密钥,并删除 Secrets Manager实例,那么还必须从 IAM 中删除私钥。 |
| 使用 Vault API 时不支持 IAM 自定义角色。 | 使用Secrets Manager服务 API 时,完全支持使用 IAM 自定义角色。 |
限制
在使用 Secrets Manager时,请考虑以下服务限制。
帐户限制
以下限制适用于每个 IBM Cloud 帐户。
| 资源 | 限制 |
|---|---|
| Secrets Manager 服务实例 | 试用计划:每个 IBM Cloud 账户可随时使用 1 个 标准计划:每个账户的实例数量不受限制 |
| Secrets Manager 服务实例 | 标准计划:每个 IBM Cloud 帐户每天 10 次 标准计划:每个账户的实例数量不受限制 |
实例限制
以下限制适用于 Secrets Manager 服务实例。
| 资源 | 限制 |
|---|---|
| 密钥引擎的配置 |
公共证书引擎:
私有证书引擎:
自定义证书引擎:
|
| 私钥组 | 每个实例 200 个 |
| 私钥总数 | 每个实例无限制 |
资源限制
查看下表以了解适用于不同类型的私钥的限制。
私钥组的限制
以下限制适用于私钥组。
| 属性 | 限制 |
|---|---|
| 名称 | 2-64 个字符 |
| 描述 | 2-1024 个字符 |
| 标签 | 2-64 个字符
每个密钥组 30 个标签 |
| 私钥总数 | – |
任意私钥的限制
以下限制适用于任意私钥。
| 属性 | 限制 |
|---|---|
| 名称 | 2-256 个字符
私钥的名称只能包含字母数字字符,短划线和点。 必须以字母数字字符开头和结尾。 |
| 描述 | 2-1024 个字符 |
| 私钥值/有效内容 | 1 MB |
| 标签 | 2-64 个字符
每个私钥 30 个标签 |
| 版本 | 出于审计目的,服务会为每个私钥保留最多 50 个版本的元数据,您可以在私钥的 版本历史记录 中查看这些元数据。 |
| 锁定数 | 1000 |
| 定制元数据 | 10 KB |
| 版本定制元数据 | 10 KB |
IAM 凭证的限制
以下限制适用于 IAM 凭证。
| 属性 | 限制 |
|---|---|
| 名称 | 2-256 个字符
私钥的名称只能包含字母数字字符,短划线和点。 必须以字母数字字符开头和结尾。 |
| 描述 | 2-1024 个字符 |
| 访问组 | 1-10 个组 |
| 标签 | 2-64 个字符
每个私钥 30 个标签 |
| 生存时间 (TTL)/租赁持续时间 | 最短持续时间为 1 分钟。 最大值为 90 天。 |
| 版本 | 2 每个私钥的版本 (当前版本和先前版本)
仅当未达到定义的生存时间 (TTL) 或租赁持续时间时,才能检索,轮换或复原私钥版本。 出于审计目的,服务会为每个私钥保留最多 50 个版本的元数据,您可以在私钥的 版本历史记录 中查看这些元数据。 |
| 锁定数 | 1000 |
| 定制元数据 | 10 KB |
| 版本定制元数据 | 10 KB |
键值私钥的限制
以下限制适用于键值私钥。
| 属性 | 限制 |
|---|---|
| 名称 | 2-256 个字符
私钥的名称只能包含字母数字字符,短划线和点。 必须以字母数字字符开头和结尾。 |
| 描述 | 2-1024 个字符 |
| 私钥值/有效内容 | 512 KB |
| 标签 | 2-64 个字符
每个私钥 30 个标签 |
| 锁定数 | 1000 |
| 定制元数据 | 10 KB |
| 版本定制元数据 | 10 KB |
SSL/TLS 证书的限制
以下限制适用于导入的证书,专用证书或公用证书。
| 属性 | 限制 |
|---|---|
| 名称 | 2-256 个字符
私钥的名称只能包含字母数字字符,短划线和点。 必须以字母数字字符开头和结尾。 |
| 描述 | 2-1024 个字符 |
| 证书 | 100 KB
支持的文件类型为 |
| 专用密钥 | 100 KB
专用密钥文件仅限于 PEM 格式的内容。 如果提供了专用密钥,那么该密钥必须与要导入的证书匹配。 只支持未加密的私人密钥。 |
| 中间证书 | 100 KB
支持的文件类型为 |
| 标签 | 2- 364characters
每个私钥 30 个标签 |
| 版本 | 2 每个证书的版本 (当前版本和先前版本)
出于审计目的,服务会保留每个私钥最多 50 个版本的元数据,您可以在私钥的 版本历史记录中查看这些元数据。 |
| 锁定数 | 1000 |
| 定制元数据 | 10 KB |
| 版本定制元数据 | 10 KB |
用户凭证的限制
以下限制适用于用户凭证。
| 属性 | 限制 |
|---|---|
| 名称 | 2-256 个字符
私钥的名称只能包含字母数字字符,短划线和点。 必须以字母数字字符开头和结尾。 |
| 描述 | 2-1024 个字符 |
| 用户名 | 2-64 个字符 |
| 密码 | 6-256 个字符 |
| 标签 | 2-64 个字符
每个私钥 30 个标签 |
| 版本 | 出于审计目的,服务会为每个私钥保留最多 50 个版本的元数据,您可以在私钥的 版本历史记录 中查看这些元数据。 |
| 锁定数 | 1000 |
| 定制元数据 | 10 KB |
| 版本定制元数据 | 10 KB |
服务凭证的限制
以下限制适用于服务凭证。
| 属性 | 限制 |
|---|---|
| 名称 | 2-256 个字符
私钥的名称只能包含字母数字字符,短划线和点。 必须以字母数字字符开头和结尾。 |
| 描述 | 2-1024 个字符 |
| 标签 | 2-64 个字符
每个私钥 30 个标签 |
| 版本 | 出于审计目的,服务会为每个私钥保留最多 50 个版本的元数据,您可以在私钥的 版本历史记录 中查看这些元数据。 |
| 锁定数 | 1000 |
| 定制元数据 | 10 KB |
| 版本定制元数据 | 10 KB |
自定义证书的限制
以下限制适用于自定义凭据。
| 属性 | 限制 |
|---|---|
| 名称 | 2-256 个字符
私钥的名称只能包含字母数字字符,短划线和点。 必须以字母数字字符开头和结尾。 |
| 描述 | 2-1024 个字符 |
| 标签 | 2-64 个字符
每个私钥 30 个标签 |
| 版本 | 出于审计目的,服务会为每个私钥保留最多 50 个版本的元数据,您可以在私钥的 版本历史记录 中查看这些元数据。 |
| 锁定数 | 1000 |
| 定制元数据 | 10 KB |
| 版本定制元数据 | 10 KB |
| 问题 | 变通方法 |
|---|---|
| 自定义凭据配置与凭据提供程序 Code Engine 作业之间存在全局一对一映射。 | 复制凭证提供者的工作。 |
| 无法更新自定义凭据配置以引用不同的凭据提供商 Code Engine 作业。 | 创建新的自定义凭据配置。 |
| 自定义凭据配置无法更新以更改或删除引用的 IAM 凭据密钥。 | 创建新的自定义凭据配置。 |
| 在 Secrets Manager 配置创建时,自定义凭据配置模式(参数和凭据)会映射到凭据提供程序 Code Engine 作业环境变量。 | 创建新的自定义凭据配置,以适应凭据提供者环境变量的更新。 |
| Secrets Manager 将 作业配置为立即删除已完成的作业运行,以避免 速率限制。Code Engine Code Engine | 您可以在 Code Engine UI 中将作业变量 CE_REMOVE_COMPLETED_JOBS 的值改为 ‘3d’ 等值,以便在开发期间查看已完成的作业运行及其日志。 |
| Secrets Manager 实例最多可配置 10 个自定义凭证配置。 | 创建一个新的 Secrets Manager 实例。 |
| 自定义凭证机密可保存 100 项任务的历史记录。 | 请参阅 IBM Cloud Logs 中的 IBM Cloud Activity Tracker Event Routing 查看任务历史。 |
| Secrets Manager 将对失败的“删除凭据”任务进行每日重试,最长可达 10 天。 | 监控 Event Notifications 和日志,查看任务失败事件,并定期检查外部凭据提供商的凭据是否过期或失效。 |
| Secrets Manager 的秘密任务进行节流,以避免 Code Engine 负担过重。 在处理大型队列时,在更改自定义凭据密级状态的操作过程中可能会出现速度变慢的问题。 | 在设计使用自定义凭据的工作负载时,应考虑到在机密被轮换之前可能会出现的延迟。 |
| 不支持秘密锁定模式 remove_previous_and_delete。 | 使用锁定模式 remove_previous,并调用删除秘密版本数据 api,指定秘密版本 id=previous。 |
| Secrets Manager 将输入参数和凭证 ID 视为元数据,而不是敏感的秘密数据。 | 使用参数类型 secret_id,可传递 Secrets Manager 中包含机密数据的秘密管理的引用。 然后,在凭证提供者的工作中检索秘密,以访问其机密数据。 |
| 对密文 ttl 和参数字段的更新会应用到新版本的密文中。 | 旋转秘密,创建新版本以应用更改。 |
| 删除 Secrets Manager 实例不会批量删除受管第三方凭证。 | 计划永久删除 Secrets Manager 实例时,首先要删除其所有机密。 |