翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon MQ の RabbitMQ: 無効な LDAP ARN Amazon MQ
Amazon MQ の RabbitMQ は、LDAP サービスアカウントのパスワード用に設定された ARN が無効またはアクセスできない場合、INVALID_ARN_LDAP の重要なアクション必須コードを生成します。これは、プレーンテキストパスワードを含む AWS Secrets Manager シークレットを参照する必要がある aws.arns.auth_ldap.other_bind.passwordaws.arns.auth_ldap.dn_lookup_bind.passwordまたは で指定された ARNs に適用されます。
RABBITMQ_INVALID_ARN_LDAP 隔離のブローカーは LDAP サービスアカウントで認証できないため、LDAP 認証を使用できません。LDAP が唯一の設定済み認証方法である場合、ユーザーはブローカーに接続できません。無効な ARNs は、不正な形式の ARN 構文、存在しないシークレットへの参照、ブローカーとは異なる AWS リージョンにあるシークレット、または IAM ロールの Secretsmanager:GetSecretValue アクセス許可が不十分であることが原因で発生する可能性があります。
RABBITMQ_INVALID_ARN_LDAP の診断と対処
RABBITMQ_INVALID_ARN_LDAP アクションの必須コードを診断して対処するには、Amazon CloudWatch Logs と コンソールを使用する必要があります。
無効な LDAP ARN の問題を解決するには
-
Amazon CloudWatch Logs Insights に移動し、ブローカーのロググループ に対して次のクエリを実行します
/aws/amazonmq/broker/<broker-id>/general。fields @timestamp, @message | sort @timestamp desc | filter @message like /error.*aws_arn_config/ | limit 10000 -
次のようなエラーメッセージを探します。
[error] <0.254.0> aws_arn_config: {<<"could not resolve ARN 'arn:aws:secretsmanager:xxx' for configuration 'aws.arns.auth_ldap.dn_lookup_bind.password', error: \"AWS service is unavailable\"">>,{error,"AWS service is unavailable"}} -
Secrets Manager シークレットを確認し、次のような問題を修正します。
シークレットがブローカーと同じ AWS リージョンに存在することを確認する
ARN 構文が正しいことを確認する
IAM ロールに secretsmanager:GetSecretValue アクセス許可があることを確認する
-
ブローカー設定を更新する前に、ARN アクセス検証 API エンドポイントを使用して修正を検証します。
-
ブローカー設定を更新し、ブローカーを再起動します。
