RabbitMQ sur Amazon MQ : ARN SSL non valide - Amazon MQ
Diagnostic et adressage RABBITMQ_INVALID_ARN_SSL

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

RabbitMQ sur Amazon MQ : ARN SSL non valide

RabbitMQ sur Amazon MQ génère un code d'action critique INVALID_ARN_SSL requis lorsqu'un ou plusieurs certificats CA Truststore pour EXTERNAL auth_mechanism ne sont pas valides ou ARNs inaccessibles. Cela s'applique à l'ARNS spécifié dans aws.arns.ssl_options.cacertfile ouaws.arns.management.ssl.cacertfile, qui doit faire référence à l'objet Amazon S3 ou ACM PCA contenant le certificat.

Un courtier placé en quarantaine RABBITMQ_INVALID_ARN_SSL ne peut pas authentifier les certificats clients lors de connexions TLS mutuelles car aucun truststore valide n'est configuré. Si le mécanisme d'authentification EXTERNE est la seule méthode d'authentification configurée, les utilisateurs ne pourront pas se connecter au courtier. La non-validité ARNs peut être due à une syntaxe ARN mal formée, à des références à des objets S3 inexistants, à des objets S3 situés dans une AWS région différente de celle du broker ou à des autorisations s3 : GetObject /acm-pca : GetCertificateAuthorityCertificate insuffisantes dans le rôle IAM.

Diagnostic et adressage RABBITMQ_INVALID_ARN_SSL

Pour diagnostiquer et traiter le code requis pour l'action RABBITMQ_INVALID_ARN_SSL, vous devez utiliser Amazon Logs et la console. CloudWatch

Pour résoudre le problème d'ARN SSL non valide

  1. Accédez à Amazon CloudWatch Logs Insights et exécutez la requête suivante sur le groupe de journaux de votre courtier /aws/amazonmq/broker/<broker-id>/general :

    
fields @timestamp, @message
| sort @timestamp desc
| filter @message like /error.*aws_arn_config/
| limit 10000

  2. Recherchez les messages d'erreur similaires aux suivants :

    
[error] <0.209.0> aws_arn_config: {<<"could not resolve ARN 'arn:aws:acm-pca:xxxx' for configuration 'aws.arns.ssl_options.cacertfile', error: \"AWS service is unavailable\"">>,{error,"AWS service is unavailable"}}

  3. Vérifiez l'objet S3/ACM-PCA et corrigez les problèmes tels que :

    • Vérifiez que le secret existe dans la même AWS région que le courtier

    • Vérifiez que la syntaxe de l'ARN est correcte

    • Assurez-vous que le rôle IAM dispose des autorisations s3 : GetObject /acm-pca : GetCertificateAuthorityCertificate

  4. Validez le correctif à l'aide du point de terminaison de l'API de validation d'accès ARN avant de mettre à jour la configuration du broker.

  5. Mettez à jour la configuration du courtier et redémarrez-le.