RabbitMQ auf Amazon MQ: Ungültiges IAM übernimmt Rolle - Amazon MQ
Diagnose und Adressierung von RABBITMQ_INVALID_ASSUMEROLE

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

RabbitMQ auf Amazon MQ: Ungültiges IAM übernimmt Rolle

RabbitMQ auf Amazon MQ löst den Code INVALID_ASSUMEROLE aus, der für eine kritische Aktion erforderlich ist, wenn der in angegebene ARN für die IAM-Rolle ungültig aws.arns.assume_role_arn ist oder von Amazon MQ nicht übernommen werden kann. Dies kann der Fall sein, wenn die Rolle nicht existiert, sich in einem anderen AWS Konto befindet als der Broker oder wenn die erforderliche Vertrauensbeziehung zu mq.amazonaws.com nicht besteht.

Ein Broker in der Quarantäne von RABBITMQ_INVALID_ASSUMEROLE kann die für die LDAP-Authentifizierung erforderlichen Anmeldeinformationen oder Zertifikate nicht abrufen, sodass die LDAP-Authentifizierung nicht verfügbar ist. Wenn LDAP die einzige konfigurierte Authentifizierungsmethode ist, können Benutzer keine Verbindung zum Broker herstellen. Die IAM-Rolle wird von Amazon MQ benötigt, um auf AWS Ressourcen zuzugreifen, auf die ARNs in der Broker-Konfiguration verwiesen wird, z. B. AWS Secrets Manager Geheimnisse oder Amazon S3 S3-Objekte, die für die LDAP-Authentifizierung verwendet werden.

Diagnose und Adressierung von RABBITMQ_INVALID_ASSUMEROLE

Um den für die Aktion RABBITMQ_INVALID_ASSUMEROLE erforderlichen Code zu diagnostizieren und zu adressieren, müssen Sie Amazon Logs und die Konsole verwenden. CloudWatch AWS Identity and Access Management

Um das Problem mit der ungültigen Übernahme der Rolle zu lösen

  1. Navigieren Sie zu Amazon CloudWatch Logs Insights und führen Sie die folgende Abfrage für die Protokollgruppe Ihres Brokers aus/aws/amazonmq/broker/<broker-id>/general:

    
fields @timestamp, @message
| sort @timestamp desc
| filter @message like /error.*aws_arn_config/
| limit 10000

  2. Suchen Sie nach Fehlermeldungen, die den folgenden ähneln:

    
[error] <0.254.0> aws_arn_config: {handle_assume_role,{error,{assume_role_failed,"AWS service is unavailable"}}}

  3. Überprüfen Sie die IAM-Rollenkonfiguration und beheben Sie beispielsweise folgende Probleme:

    • Stellen Sie sicher, dass die Rolle im selben AWS Konto wie der Broker existiert

    • Stellen Sie sicher, dass die Vertrauensrichtlinie es mq.amazonaws.com ermöglicht, die Rolle zu übernehmen

    • Vergewissern Sie sich, dass die Rolle über die erforderlichen Berechtigungen für den Zugriff auf die erforderlichen Ressourcen verfügt AWS

  4. Überprüfen Sie den Fix mithilfe des API-Endpunkts für die ARN-Zugriffsprüfung, bevor Sie die Broker-Konfiguration aktualisieren.

  5. Aktualisieren Sie die Broker-Konfiguration und starten Sie den Broker neu.