本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 MQ 上的 RabbitMQ:IAM 代入角色无效
当中指定的 IAM 角色 ARN 无效或无法由亚马逊 MQ 担任时,亚马逊 MQ 上的 RabbitMQ 将引发一个 INVALID_ASSUMEROLE 关键操作所需的代码。aws.arns.assume_role_arn当该角色不存在、与经纪人位于不同的 AWS 账户中,或者与 mq.amazonaws.com 缺乏必要的信任关系时,就会发生这种情况。
RABBITMQ_INVALID_ASSUMEROLE 隔离区中的代理无法检索 LDAP 身份验证所需的凭据或证书,从而导致 LDAP 身份验证不可用。如果 LDAP 是唯一配置的身份验证方法,则用户将无法连接到代理。Amazon MQ 需要使用 IAM 角色才能访问代理配置 ARNs 中引用的 AWS 资源,例如用于 LDAP 身份验证的 AWS Secrets Manager 密钥或 Amazon S3 对象。
诊断和解决 RABBITMQ_INVALID_ASSUMEROLE
要诊断和解决 RABBITMQ_INVALID_ASSUMEROLE 操作所需的代码,您必须使用亚马逊日志和控制台。 CloudWatch AWS Identity and Access Management
解决无效的代入角色问题
-
导航至 Amazon CloudWatch Logs Insights,然后对您的经纪人的日志组运行以下查询
/aws/amazonmq/broker/<broker-id>/general:fields @timestamp, @message | sort @timestamp desc | filter @message like /error.*aws_arn_config/ | limit 10000 -
查找类似于以下内容的错误消息:
[error] <0.254.0> aws_arn_config: {handle_assume_role,{error,{assume_role_failed,"AWS service is unavailable"}}} -
检查 IAM 角色配置并修复任何问题,例如:
确保该角色与经纪人位于同一个 AWS 账户中
验证信任策略是否允许 mq.amazonaws.com 担任该角色
确认该角色具有访问所需 AWS 资源的相应权限
-
在更新代理配置之前,使用 ARN 访问验证 API 端点验证修复程序。
-
更新代理配置并重启代理。
