View a markdown version of this page

RabbitMQ su Amazon MQ: ARN SSL non valido - Amazon MQ
Diagnosi e indirizzamento di RABBITMQ_INVALID_ARN_SSL

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

RabbitMQ su Amazon MQ: ARN SSL non valido

RabbitMQ su Amazon MQ genererà un codice INVALID_ARN_SSL per l'azione critica richiesta quando uno o più ARN di CA certificate truststore for EXTERNAL auth_mechanism non sono validi o sono inaccessibili. Questo vale per gli ARNS specificati in aws.arns.ssl_options.cacertfile oraws.arns.management.ssl.cacertfile, che devono fare riferimento all'oggetto Amazon S3 o ACM PCA contenente il certificato.

Un broker in quarantena RABBITMQ_INVALID_ARN_SSL non può autenticare i certificati client durante gli handshake TLS reciproci perché non è configurato alcun truststore valido. Se il meccanismo di autenticazione EXTERNAL è l'unico metodo di autenticazione configurato, gli utenti non saranno in grado di connettersi al broker. Gli ARN non validi possono essere causati da una sintassi ARN non valida, da riferimenti a oggetti S3 inesistenti, da oggetti S3 situati in una regione AWS diversa da quella del broker o da autorizzazioni s3: insufficienti nel ruolo IAM. GetObject/acm-pca:GetCertificateAuthorityCertificate

Diagnosi e indirizzamento di RABBITMQ_INVALID_ARN_SSL

Per diagnosticare e risolvere il codice richiesto dall'azione RABBITMQ_INVALID_ARN_SSL, devi utilizzare Amazon Logs e la console. CloudWatch

Per risolvere il problema dell'ARN SSL non valido

  1. Accedi ad Amazon CloudWatch Logs Insights ed esegui la seguente query sul gruppo /aws/amazonmq/broker/<broker-id>/general di log del tuo broker:

    
fields @timestamp, @message
| sort @timestamp desc
| filter @message like /error.*aws_arn_config/
| limit 10000

  2. Cerca messaggi di errore simili a:

    
[error] <0.209.0> aws_arn_config: {<<"could not resolve ARN 'arn:aws:acm-pca:xxxx' for configuration 'aws.arns.ssl_options.cacertfile', error: \"AWS service is unavailable\"">>,{error,"AWS service is unavailable"}}

  3. Controlla l' S3/ACM-PCA oggetto e risolvi eventuali problemi come:

    • Verifica che il segreto esista nella stessa AWS regione del broker

    • Conferma che la sintassi ARN sia corretta

    • Assicurati che il ruolo IAM disponga di autorizzazioni s3: GetObject/acm-pca:GetCertificateAuthorityCertificate

  4. Aggiorna la configurazione del broker e riavvia il broker.