RabbitMQ no Amazon MQ: função inválida de assumir o IAM - Amazon MQ
Diagnosticando e abordando RABBITMQ_INVALID_ASSUMEROLE

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

RabbitMQ no Amazon MQ: função inválida de assumir o IAM

O RabbitMQ no Amazon MQ gerará um código obrigatório de ação crítica INVALID_ASSUMEROLE quando o ARN da função do IAM especificado em for inválido ou não puder ser assumido pelo Amazon MQ. aws.arns.assume_role_arn Isso pode ocorrer quando a função não existe, está em uma AWS conta diferente da do corretor ou não tem a relação de confiança necessária com mq.amazonaws.com.

Um agente na quarentena do RABBITMQ_INVALID_ASSUMEROLE não pode recuperar as credenciais ou certificados necessários para a autenticação LDAP, tornando a autenticação LDAP indisponível. Se o LDAP for o único método de autenticação configurado, os usuários não conseguirão se conectar ao agente. A função do IAM é exigida pelo Amazon MQ para acessar AWS recursos referenciados ARNs na configuração do agente, como AWS Secrets Manager segredos ou objetos do Amazon S3 usados para autenticação LDAP.

Diagnosticando e abordando RABBITMQ_INVALID_ASSUMEROLE

Para diagnosticar e resolver o código necessário da ação RABBITMQ_INVALID_ASSUMEROLE, você deve usar o Amazon Logs e o console. CloudWatch AWS Identity and Access Management

Para resolver o problema de assumir função inválida

  1. Navegue até o Amazon CloudWatch Logs Insights e execute a seguinte consulta no grupo de registros do seu corretor/aws/amazonmq/broker/<broker-id>/general:

    
fields @timestamp, @message
| sort @timestamp desc
| filter @message like /error.*aws_arn_config/
| limit 10000

  2. Procure mensagens de erro semelhantes a:

    
[error] <0.254.0> aws_arn_config: {handle_assume_role,{error,{assume_role_failed,"AWS service is unavailable"}}}

  3. Verifique a configuração da função do IAM e corrija quaisquer problemas, como:

    • Certifique-se de que a função exista na mesma AWS conta do corretor

    • Verifique se a política de confiança permite que mq.amazonaws.com assuma a função

    • Confirme se a função tem as permissões apropriadas para acessar os AWS recursos necessários

  4. Valide a correção usando o endpoint da API de validação de acesso ARN antes de atualizar a configuração do broker.

  5. Atualize a configuração do broker e reinicialize o broker.