Amazon MQ の RabbitMQ: 無効な SSL ARN Amazon MQ - Amazon MQ
RABBITMQ_INVALID_ARN_SSL の診断と対処

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon MQ の RabbitMQ: 無効な SSL ARN Amazon MQ

Amazon MQ の RabbitMQ は、EXTERNAL auth_mechanism の CA 証明書トラストストアの 1 つ以上の ARNs が無効またはアクセスできない場合、INVALID_ARN_SSL の重要なアクションに必要なコードを生成します。これは、 aws.arns.ssl_options.cacertfileまたは で指定された ARNS に適用されます。ARNS はaws.arns.management.ssl.cacertfile、証明書を含む Amazon S3 または ACM PCA オブジェクトを参照する必要があります。

RABBITMQ_INVALID_ARN_SSL 隔離のブローカーは、有効なトラストストアが設定されていないため、相互 TLS ハンドシェイク中にクライアント証明書を認証できません。EXTERNAL 認証メカニズムが唯一の設定済み認証方法である場合、ユーザーはブローカーに接続できません。無効な ARNs は、不正な形式の ARN 構文、存在しない S3 オブジェクトへの参照、ブローカーとは異なる AWS リージョンにある S3 オブジェクト、または IAM ロールの s3:GetObject/acm-pca:GetCertificateAuthorityCertificate アクセス許可が不十分であることが原因で発生する可能性があります。

RABBITMQ_INVALID_ARN_SSL の診断と対処

RABBITMQ_INVALID_ARN_SSL アクションの必須コードを診断して対処するには、Amazon CloudWatch Logs と コンソールを使用する必要があります。

無効な SSL ARN の問題を解決するには

  1. Amazon CloudWatch Logs Insights に移動し、ブローカーのロググループ に対して次のクエリを実行します/aws/amazonmq/broker/<broker-id>/general

    
fields @timestamp, @message
| sort @timestamp desc
| filter @message like /error.*aws_arn_config/
| limit 10000

  2. 次のようなエラーメッセージを探します。

    
[error] <0.209.0> aws_arn_config: {<<"could not resolve ARN 'arn:aws:acm-pca:xxxx' for configuration 'aws.arns.ssl_options.cacertfile', error: \"AWS service is unavailable\"">>,{error,"AWS service is unavailable"}}

  3. S3/ACM-PCA オブジェクトを確認し、次のような問題を修正します。

    • シークレットがブローカーと同じ AWS リージョンに存在することを確認する

    • ARN 構文が正しいことを確認する

    • IAM ロールに s3:GetObject/acm-pca:GetCertificateAuthorityCertificate アクセス許可があることを確認します。

  4. ブローカー設定を更新する前に、ARN アクセス検証 API エンドポイントを使用して修正を検証します。

  5. ブローカー設定を更新し、ブローカーを再起動します。