RabbitMQ en Amazon MQ: clave AWS Key Management Service no válida - Amazon MQ
Diagnóstico y solución de INVALID_KMS_KEY

RabbitMQ en Amazon MQ: clave AWS Key Management Service no válida

RabbitMQ en Amazon MQ generará un código requerido de acción crítica INVALID_KMS_KEY cuando un agente creado con una AWS KMS key (CMK) administrada por el cliente detecte que la clave de AWS Key Management Service (KMS) está desactivada. Un agente de RabbitMQ con una CMK verifica periódicamente que la clave KMS esté habilitada y que el agente disponga de todas las concesiones necesarias. Si RabbitMQ no puede verificar que la clave está habilitada, el agente se pondrá en cuarentena y RabbitMQ devolverá INVALID_KMS_KEY.

Sin una clave de KMS activa, el agente no dispone de permisos básicos para las claves de KMS administradas por el cliente. El agente no podrá realizar operaciones criptográficas mediante su clave hasta que vuelva a activarla y se reinicie el agente. Un agente de RabbitMQ con una clave de KMS desactivada se pone en cuarentena para evitar su deterioro. Después de que RabbitMQ determine que la clave de KMS está activa de nuevo, su agente se retirará de la cuarentena. Amazon MQ no reinicia un agente con una clave de KMS no válida y devuelve una excepción para las operaciones de la API RebootBroker mientras el agente siga teniendo una clave de KMS no válida.

Diagnóstico y solución de INVALID_KMS_KEY

Para diagnosticar y resolver la acción INVALID_KMS_KEY código requerido, debe utilizar la interfaz de línea de comandos (CLI) de AWS y la consola de AWS Key Management Service.

Para volver a activar su clave de KMS

  1. Llame al método kmsKeyId para recuperar DescribeBroker para su agente de CMK.

  2. Inicie sesión en la consola de AWS Key Management Service.

  3. En la página Claves administradas por el cliente, Localice el ID de la clave de KMS del agente problemático y compruebe que el estado es Activado.

  4. Si su clave de KMS se ha desactivado, vuelva a activarla mediante la selección de Acciones de clave y, a continuación, elija Activar. Una vez reactivada la clave, deberá esperar a que RabbitMQ retire el agente de la cuarentena.

Para comprobar que las concesiones necesarias siguen asociadas a la clave de KMS del agente, llame al método ListGrant para verificar que mq_rabbit_grant y mq_grant están presentes. Si se ha eliminado la concesión o la clave de KMS, deberá eliminar el agente y crear uno nuevo con todas las concesiones necesarias. Para conocer los pasos para eliminar un agente, consulte Eliminación de un agente.

Para evitar el código requerido de acción crítica INVALID_KMS_KEY, no elimine ni desactive manualmente una clave de KMS ni una concesión de CMK. Si desea eliminar la clave, elimine primero el agente.