設定可能な AD 同期エラーのログ記録 - AWS IAM Identity Center
設定可能な AD 同期エラーログを有効にするには設定可能な AD 同期エラーログを無効にするには設定可能な AD 同期エラーログフィールド設定可能な AD 同期エラーログの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定可能な AD 同期エラーのログ記録

設定可能な Active Directory (AD) 同期設定のログ記録を有効にして、同期プロセス中に発生する可能性のあるエラーに関する情報を含むログを受信できます。これらのログを使用すると、設定可能な AD 同期に問題があるかどうかをモニタリングし、必要に応じてアクションを実行できます。Amazon S3 バケットと Filehose では、アカウント間の配信がサポートされており、Amazon CloudWatch Logs ロググループ、Amazon Simple Storage Service (Amazon S3) バケット、Amazon Data Firehose にログを送信できます。

制限、アクセス許可、および提供されたログの詳細については、「ロギングの有効化 AWS のサービス」を参照してください。

注記

ログ記録には料金がかかります。詳細については、「Amazon CloudWatch Pricing」ページの「Vended Logs」を参照してください。

設定可能な AD 同期エラーログを有効にするには

  1. IAM アイデンティティセンターコンソールにサインインします。

  2. [設定] を選択します。

  3. [設定] ページで [ID ソース] タブを選択して [アクション] を選択し、次に [ログの管理] を選択します。

  4. [ログ配信の追加] と、次のいずれかの送信先タイプを選択します。

    1. [Amazon CloudWatch Logs へ] を選択します。次に、送信先ロググループを選択または入力します。

    2. [Amazon S3 へ] を選択します。次に、送信先バケットを選択または入力します。

    3. [Firehose へ] を選択します。次に、送信先配信ストリームを選択または入力します。

  5. [Submit] を選択してください。

設定可能な AD 同期エラーログを無効にするには

  1. IAM アイデンティティセンターコンソールにサインインします。

  2. [設定] を選択します。

  3. [設定] ページで [ID ソース] タブを選択して [アクション] を選択し、次に [ログの管理] を選択します。

  4. 削除したい送信先について [削除] を選択します。

  5. [Submit] を選択してください。

設定可能な AD 同期エラーログフィールド

発生する可能性のあるエラーログフィールドについては、次のリストを参照してください。

sync_profile_name

同期プロファイルの名前。

error_code

発生したエラーのタイプを表すエラーコード。

error_message

発生したエラーに関する詳細情報を含むメッセージ。

sync_source

同期ソースは、エンティティが同期される場所を示します。IAM アイデンティティセンターの場合、これは AWS Directory Serviceによって管理される Active Directory (AD) です。同期ソースには、影響を受けるディレクトリのドメインと ARN が含まれます。

sync_target

同期ターゲットは、エンティティが保存される送信先です。IAM アイデンティティセンターの場合、これは ID ストアです。同期ターゲットには、影響を受ける Identity Store ARN が含まれます。

source_entity_id

エラーの原因となったエンティティを表す一意の識別子。IAM アイデンティティセンターの場合、これはエンティティの SID です。

source_entity_type

エラーの原因となったエンティティのタイプ。ここには、USER または GROUP が表示されます。

eventTimestamp

エラー発生時のタイムスタンプ。

設定可能な AD 同期エラーログの例

例 1: AD ディレクトリのパスワード期限切れのエラーログ

{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "InvalidDirectoryCredentials", 
        "error_message": "The password for your AD directory has expired. Please reset the password to allow Identity Sync to access the directory." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:123456789:directory/d-123456",
        "domain": "EXAMPLE.com" 
    },
    "eventTimestamp": "1683355579981"
}

例 2: 一意でないユーザー名を持つユーザーのエラーログ

{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "ConflictError", 
        "error_message": "The source entity has a username conflict with the sync target. Please verify that the source identity has a unique username in the target." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:111122223333:directory/d-123456",
        "domain": "EXAMPLE.com"
    },
    "sync_target": {
        "arn": "arn:aws:identitystore::111122223333:identitystore/d-123456" 
    },
    "source_entity_id": "SID-1234",
    "source_entity_type": "USER",
    "eventTimestamp": "1683355579981"
}