RabbitMQ di Amazon MQ: IAM Asumsikan Peran Tidak Valid - Amazon MQ
Mendiagnosis dan menangani RABBITMQ_INVALID_ASSUMEROLE

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

RabbitMQ di Amazon MQ: IAM Asumsikan Peran Tidak Valid

RabbitMQ di Amazon MQ akan memunculkan kode yang diperlukan tindakan kritis INVALID_ASSUMEROLE saat peran IAM yang ditentukan ARN tidak valid atau tidak dapat diasumsikan oleh Amazon MQ. aws.arns.assume_role_arn Ini dapat terjadi ketika peran tidak ada, berada di AWS akun yang berbeda dari broker, atau tidak memiliki hubungan kepercayaan yang diperlukan dengan mq.amazonaws.com.

Broker di karantina RABBITMQ_INVALID_ASSUMEROLE tidak dapat mengambil kredensyal atau sertifikat yang diperlukan untuk otentikasi LDAP, sehingga otentikasi LDAP tidak tersedia. Jika LDAP adalah satu-satunya metode otentikasi yang dikonfigurasi, pengguna tidak akan dapat terhubung ke broker. Peran IAM diperlukan oleh Amazon MQ untuk AWS mengakses sumber daya yang dirujuk ARNs oleh dalam konfigurasi broker, AWS Secrets Manager seperti rahasia atau objek Amazon S3 yang digunakan untuk otentikasi LDAP.

Mendiagnosis dan menangani RABBITMQ_INVALID_ASSUMEROLE

Untuk mendiagnosis dan menangani kode yang diperlukan tindakan RABBITMQ_INVALID_ASSUMEROLE, Anda harus menggunakan Amazon Logs dan konsol. CloudWatch AWS Identity and Access Management

Untuk mengatasi masalah peran asumsi yang tidak valid

  1. Arahkan ke Amazon CloudWatch Logs Insights dan jalankan kueri berikut terhadap grup /aws/amazonmq/broker/<broker-id>/general log broker Anda:

    
fields @timestamp, @message
| sort @timestamp desc
| filter @message like /error.*aws_arn_config/
| limit 10000

  2. Cari pesan kesalahan yang mirip dengan:

    
[error] <0.254.0> aws_arn_config: {handle_assume_role,{error,{assume_role_failed,"AWS service is unavailable"}}}

  3. Periksa konfigurasi peran IAM dan perbaiki masalah apa pun seperti:

    • Pastikan peran ada di AWS akun yang sama dengan broker

    • Verifikasi kebijakan kepercayaan memungkinkan mq.amazonaws.com untuk mengambil peran

    • Konfirmasikan bahwa peran memiliki izin yang sesuai untuk mengakses sumber daya yang diperlukan AWS

  4. Validasi perbaikan menggunakan titik akhir API validasi akses ARN sebelum memperbarui konfigurasi broker.

  5. Perbarui konfigurasi broker dan reboot broker.