RabbitMQ sur Amazon MQ : IAM assume un rôle non valide - Amazon MQ
Diagnostic et adressage RABBITMQ_INVALID_ASSUMEROLE

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

RabbitMQ sur Amazon MQ : IAM assume un rôle non valide

RabbitMQ sur Amazon MQ génère un code d'action critique INVALID_ASSUMEROLE requis lorsque l'ARN du rôle IAM spécifié dans n'est pas valide ou ne peut pas être assumé par Amazon MQ. aws.arns.assume_role_arn Cela peut se produire lorsque le rôle n'existe pas, se trouve sur un AWS compte différent de celui du courtier ou n'a pas la relation de confiance nécessaire avec mq.amazonaws.com.

Un courtier placé en quarantaine RABBITMQ_INVALID_ASSUMEROLE ne peut pas récupérer les informations d'identification ou les certificats requis pour l'authentification LDAP, ce qui rend l'authentification LDAP indisponible. Si LDAP est la seule méthode d'authentification configurée, les utilisateurs ne pourront pas se connecter au broker. Le rôle IAM est requis par Amazon MQ pour AWS accéder aux ressources référencées ARNs dans la configuration du broker, AWS Secrets Manager telles que les secrets ou les objets Amazon S3 utilisés pour l'authentification LDAP.

Diagnostic et adressage RABBITMQ_INVALID_ASSUMEROLE

Pour diagnostiquer et traiter le code requis pour l'action RABBITMQ_INVALID_ASSUMEROLE, vous devez utiliser Amazon Logs et la console. CloudWatch AWS Identity and Access Management

Pour résoudre le problème d'attribution de rôle non valide

  1. Accédez à Amazon CloudWatch Logs Insights et exécutez la requête suivante sur le groupe de journaux de votre courtier /aws/amazonmq/broker/<broker-id>/general :

    
fields @timestamp, @message
| sort @timestamp desc
| filter @message like /error.*aws_arn_config/
| limit 10000

  2. Recherchez les messages d'erreur similaires aux suivants :

    
[error] <0.254.0> aws_arn_config: {handle_assume_role,{error,{assume_role_failed,"AWS service is unavailable"}}}

  3. Vérifiez la configuration du rôle IAM et corrigez les problèmes tels que :

    • Assurez-vous que le rôle existe sur le même AWS compte que le courtier

    • Vérifiez que la politique de confiance autorise mq.amazonaws.com à assumer le rôle

    • Vérifiez que le rôle dispose des autorisations appropriées pour accéder aux AWS ressources requises

  4. Validez le correctif à l'aide du point de terminaison de l'API de validation d'accès ARN avant de mettre à jour la configuration du broker.

  5. Mettez à jour la configuration du courtier et redémarrez-le.