Risoluzione dei problemi relativi ad Amazon ECS Service Connect con namespace condivisi AWS Cloud Map - Amazon Elastic Container Service

Risoluzione dei problemi relativi ad Amazon ECS Service Connect con namespace condivisi AWS Cloud Map

Utilizzare le seguenti informazioni per risolvere i problemi relativi ai namespace AWS Cloud Map condivisi e Service Connect. Per ulteriori informazioni sull'individuazione dei messaggi di errore, consultare Risoluzione dei problemi di Amazon ECS.

I messaggi di errore relativi ai problemi di autorizzazione vengono visualizzati a causa di autorizzazioni mancanti o se l'accesso al namespace viene revocato.

Importante

È necessario utilizzare l'autorizzazione gestita da AWSRAMPermissionCloudMapECSFullPermission per condividere il namespace affinché Service Connect funzioni correttamente con il namespace.

Il messaggio di errore appare in uno dei seguenti formati:

Si è verificato un errore (ClientException) durante la chiamata dell'operazione <OperationName>: Utente: arnarn:aws:iam::<account-id>:user/<user-name> non è autorizzato a eseguire: <ActionName> sulla risorsa: <ResourceArn> perché nessuna politica basata sulle risorse consente l'azione <ActionName>

I seguenti scenari possono generare un messaggio di errore in questo formato:

Errore di creazione o aggiornamento del cluster

Questi problemi si verificano quando le operazioni di Amazon ECS come CreateCluster o UpdateCluster non funzionano per via di autorizzazioni AWS Cloud Map mancanti. Questa operazione richiede autorizzazioni per le seguenti operazioni AWS Cloud Map:

  • servicediscovery:GetNamespace

Assicurarsi che l'invito alla condivisione delle risorse sia stato accettato nell'account consumer e che nella configurazione di Service Connect venga utilizzato l'ARN del namespace corretto.

Errore di creazione o aggiornamento del servizio

Questi problemi si verificano quando le operazioni di Amazon ECS come CreateService o UpdateService non funzionano per via di autorizzazioni AWS Cloud Map mancanti. Questa operazione richiede autorizzazioni per le seguenti operazioni AWS Cloud Map:

  • servicediscovery:CreateService

  • servicediscovery:GetNamespace

  • servicediscovery:GetOperation (per creare un nuovo servizio AWS Cloud Map)

  • servicediscovery:GetService (per quando un servizio AWS Cloud Map esiste già)

Assicurarsi che l'invito alla condivisione delle risorse sia stato accettato nell'account consumer e che nella configurazione di Service Connect venga utilizzato l'ARN del namespace corretto.

L'operazione ListServicesByNamespace ha esito negativo

Questo problema si verifica quando l'operazione ListServicesByNamespace di Amazon ECS ha esito negativo. Questa operazione richiede autorizzazioni per le seguenti azioni AWS Cloud Map:

  • servicediscovery:GetNamespace

Per risolvere il problema:

  • Verificare che l'account consumer disponga dell'autorizzazione servicediscovery:GetNamespace.

  • Usare l'ARN del namespace quando si chiama l'API, non il nome.

  • Assicurarsi che la condivisione delle risorse sia attiva e che l'invito sia stato accettato.

User: <iam-user> non è autorizzato a eseguire <ActionName> sulla risorsa: <ResourceArn> con un rifiuto esplicito in una policy basata sulle identità.

I seguenti scenari possono generare un messaggio di errore in questo formato:

L'eliminazione del servizio ha esito negativo e rimane bloccata nello stato DRAINING

Questo problema si verifica quando le operazioni DeleteService di Amazon ECS hanno esito negativo a causa dell'autorizzazione servicediscovery:DeleteService mancante quando l'accesso al namespace viene revocato. Inizialmente potrebbe sembrare che il servizio sia stato eliminato correttamente, ma rimarrà bloccato nello stato DRAINING. Il messaggio di errore viene visualizzato come un evento del servizio di Amazon ECS.

Per risolvere questo problema, il proprietario del namespace deve condividere quest'ultimo con l'account consumer per consentire il completamento dell'eliminazione del servizio.

Le attività in servizio non vengono eseguite

Questo problema si verifica quando le attività non vengono avviate a causa della mancanza di autorizzazioni. Il messaggio di errore viene visualizzato come errore di attività interrotta. Per ulteriori informazioni, consultare Risolvi gli errori relativi alle attività interrotte in Amazon ECS.

Per eseguire un'attività sono necessarie le seguenti operazioni AWS Cloud Map:

  • servicediscovery:GetOperation

  • servicediscovery:RegisterInstance

Assicurarsi che l'account consumer disponga delle autorizzazioni richieste e che il namespace condiviso sia accessibile.

Le attività non vengono interrotte correttamente o rimangono bloccate nello stato DEACTIVATING o DEPROVISIONING

Questo problema si verifica quando le attività non riescono ad annullare la registrazione dal servizio AWS Cloud Map durante l'arresto a causa della mancanza di autorizzazioni. L'errore viene visualizzato come statusReason nell'allegato dell'attività che può essere recuperato utilizzando l'API DescribeTasks. Per ulteriori informazioni, consultare DescribeTasks nella Documentazione di riferimento delle API di Amazon Elastic Container Service.

Per interrompere un'attività sono necessarie le seguenti operazioni AWS Cloud Map:

  • servicediscovery:DeregisterInstance

  • servicediscovery:GetOperation

Se l'accesso al namespace viene revocato, le attività possono rimanere in uno stato DEACTIVATING o DEPROVISIONING fino al ripristino dell'accesso al namespace. Richiedere al proprietario del namespace di ripristinare l'accesso al namespace.