翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon MQ の RabbitMQ: 無効な IAM 継承ロール Amazon MQ
Amazon MQ の RabbitMQ は、 で指定された IAM ロール ARN が無効aws.arns.assume_role_arnであるか、Amazon MQ が引き受けることができない場合に、INVALID_ASSUMEROLE の重要なアクション必須コードを生成します。これは、ロールが存在しない場合、ブローカーとは異なる AWS アカウントにある場合、または mq.amazonaws.com と必要な信頼関係がない場合に発生する可能性があります。
RABBITMQ_INVALID_ASSUMEROLE 隔離のブローカーは、LDAP 認証に必要な認証情報または証明書を取得できず、LDAP 認証が使用できなくなります。LDAP が唯一の設定済み認証方法である場合、ユーザーはブローカーに接続できません。IAM ロールは、Amazon MQ が、LDAP 認証に使用される AWS Secrets Manager シークレットや Amazon S3 オブジェクトなど、ブローカー設定の ARNs によって参照される AWS リソースにアクセスするために必要です。
RABBITMQ_INVALID_ASSUMEROLE の診断と対処
RABBITMQ_INVALID_ASSUMEROLE アクションの必須コードを診断して対処するには、Amazon CloudWatch Logs と AWS Identity and Access Management コンソールを使用する必要があります。
無効な継承ロールの問題を解決するには
-
Amazon CloudWatch Logs Insights に移動し、ブローカーのロググループ に対して次のクエリを実行します
/aws/amazonmq/broker/<broker-id>/general。fields @timestamp, @message | sort @timestamp desc | filter @message like /error.*aws_arn_config/ | limit 10000 -
次のようなエラーメッセージを探します。
[error] <0.254.0> aws_arn_config: {handle_assume_role,{error,{assume_role_failed,"AWS service is unavailable"}}} -
IAM ロールの設定を確認し、次のような問題を修正します。
ロールがブローカーと同じ AWS アカウントに存在することを確認する
信頼ポリシーが mq.amazonaws.com にロールの引き受けを許可することを確認する
ロールに必要な AWS リソースにアクセスするための適切なアクセス許可があることを確認します。
-
ブローカー設定を更新する前に、ARN アクセス検証 API エンドポイントを使用して修正を検証します。
-
ブローカー設定を更新し、ブローカーを再起動します。
