RabbitMQ en Amazon MQ: ARN SSL no válido - Amazon MQ
Diagnóstico y tratamiento de RABBITMQ_INVALID_ARN_SSL

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

RabbitMQ en Amazon MQ: ARN SSL no válido

RabbitMQ en Amazon MQ generará un código de acción crítica INVALID_ARN_SSL cuando uno o más de los almacenes de confianza de certificados de CA para EXTERNAL auth_mechanism no sean válidos o no ARNs estén accesibles. Esto se aplica a los ARNS especificados en aws.arns.ssl_options.cacertfile oaws.arns.management.ssl.cacertfile, que deben hacer referencia al objeto PCA de Amazon S3 o ACM que contiene el certificado.

Un bróker que se encuentre en cuarentena con RABBITMQ_INVALID_ARN_SSL no puede autenticar los certificados de los clientes durante los intercambios mutuos de TLS porque no hay configurado un almacén de confianza válido. Si el único método de autenticación configurado es un mecanismo de autenticación externo, los usuarios no podrán conectarse al intermediario. La invalidez ARNs puede deberse a un formato incorrecto de la sintaxis del ARN, a referencias a objetos S3 inexistentes, a objetos S3 ubicados en una región AWS diferente a la del intermediario o a permisos s3GetObject: GetCertificateAuthorityCertificate /acm-pca: insuficientes en la función de IAM.

Diagnóstico y tratamiento de RABBITMQ_INVALID_ARN_SSL

Para diagnosticar y abordar el código de acción requerida por RABBITMQ_INVALID_ARN_SSL, debe usar Amazon Logs y la consola. CloudWatch

Para resolver el problema del ARN de SSL no válido

  1. Navegue hasta Amazon CloudWatch Logs Insights y ejecute la siguiente consulta en el grupo de registros de su agente/aws/amazonmq/broker/<broker-id>/general:

    
fields @timestamp, @message
| sort @timestamp desc
| filter @message like /error.*aws_arn_config/
| limit 10000

  2. Busque mensajes de error similares a los siguientes:

    
[error] <0.209.0> aws_arn_config: {<<"could not resolve ARN 'arn:aws:acm-pca:xxxx' for configuration 'aws.arns.ssl_options.cacertfile', error: \"AWS service is unavailable\"">>,{error,"AWS service is unavailable"}}

  3. Compruebe el objeto S3/ACM-PCA y solucione cualquier problema, como:

    • Compruebe que el secreto existe en la misma región que el bróker AWS

    • Confirme que la sintaxis del ARN es correcta

    • Asegúrese de que el rol de IAM tenga los permisos s3: GetObject /acm-pca: GetCertificateAuthorityCertificate

  4. Valide la solución mediante el punto final de la API de validación de acceso del ARN antes de actualizar la configuración del broker.

  5. Actualice la configuración del corredor y reinícielo.