RabbitMQ en Amazon MQ: rol de IAM no válido - Amazon MQ
Diagnóstico y tratamiento de RABBITMQ_INVALID_ASSUMEROLE

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

RabbitMQ en Amazon MQ: rol de IAM no válido

RabbitMQ en Amazon MQ generará un código INVALID_ASSUMEROLE que requiere una acción crítica cuando el ARN del rol de IAM especificado no sea válido o Amazon MQ no pueda asumirlo. aws.arns.assume_role_arn Esto puede ocurrir cuando el rol no existe, se encuentra en una AWS cuenta diferente a la del agente o no tiene la relación de confianza necesaria con mq.amazonaws.com.

Un agente en cuarentena con RABBITMQ_INVALID_ASSUMEROLE no puede recuperar las credenciales o los certificados necesarios para la autenticación LDAP, lo que hace que la autenticación LDAP no esté disponible. Si LDAP es el único método de autenticación configurado, los usuarios no podrán conectarse al agente. Amazon MQ requiere la función de IAM para AWS acceder a los recursos a los que se hace referencia ARNs en la configuración del broker, AWS Secrets Manager como los secretos o los objetos de Amazon S3 utilizados para la autenticación LDAP.

Diagnóstico y tratamiento de RABBITMQ_INVALID_ASSUMEROLE

Para diagnosticar y abordar el código de acción requerida por RABBITMQ_INVALID_ASSUMEROLE, debe usar Amazon Logs y la consola. CloudWatch AWS Identity and Access Management

Para resolver el problema de asumir el rol no válido

  1. Navegue hasta Amazon CloudWatch Logs Insights y ejecute la siguiente consulta en el grupo de registros de su agente/aws/amazonmq/broker/<broker-id>/general:

    
fields @timestamp, @message
| sort @timestamp desc
| filter @message like /error.*aws_arn_config/
| limit 10000

  2. Busque mensajes de error similares a los siguientes:

    
[error] <0.254.0> aws_arn_config: {handle_assume_role,{error,{assume_role_failed,"AWS service is unavailable"}}}

  3. Compruebe la configuración del rol de IAM y solucione cualquier problema, como:

    • Asegúrese de que el rol esté en la misma AWS cuenta que el corredor

    • Compruebe que la política de confianza permita a mq.amazonaws.com asumir el rol

    • Confirme que el rol tiene los permisos adecuados para acceder a los recursos necesarios AWS

  4. Valide la solución mediante el punto final de la API de validación de acceso del ARN antes de actualizar la configuración del broker.

  5. Actualice la configuración del corredor y reinícielo.