RabbitMQ su Amazon MQ: IAM Assume Role non valido - Amazon MQ
Diagnosi e risoluzione di RABBITMQ_INVALID_ASSUMEROLE

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

RabbitMQ su Amazon MQ: IAM Assume Role non valido

RabbitMQ su Amazon MQ genererà un codice INVALID_ASSUMEROLE per l'azione critica richiesta quando il ruolo IAM ARN specificato in aws.arns.assume_role_arn non è valido o non può essere assunto da Amazon MQ. Ciò può verificarsi quando il ruolo non esiste, si trova in un AWS account diverso da quello del broker o non dispone del necessario rapporto di fiducia con mq.amazonaws.com.

Un broker in quarantena RABBITMQ_INVALID_ASSUMEROLE non può recuperare le credenziali o i certificati richiesti per l'autenticazione LDAP, rendendo l'autenticazione LDAP non disponibile. Se LDAP è l'unico metodo di autenticazione configurato, gli utenti non saranno in grado di connettersi al broker. Il ruolo IAM è richiesto da Amazon MQ per accedere alle AWS risorse a cui si fa riferimento ARNs nella configurazione del broker, come Gestione dei segreti AWS i segreti o gli oggetti Amazon S3 utilizzati per l'autenticazione LDAP.

Diagnosi e risoluzione di RABBITMQ_INVALID_ASSUMEROLE

Per diagnosticare e risolvere il codice richiesto dall'azione RABBITMQ_INVALID_ASSUMEROLE, devi utilizzare Amazon Logs e la console. CloudWatch AWS Identity and Access Management

Per risolvere il problema di assunzione del ruolo non valido

  1. Accedi ad Amazon CloudWatch Logs Insights ed esegui la seguente query sul gruppo /aws/amazonmq/broker/<broker-id>/general di log del tuo broker:

    
fields @timestamp, @message
| sort @timestamp desc
| filter @message like /error.*aws_arn_config/
| limit 10000

  2. Cerca messaggi di errore simili a:

    
[error] <0.254.0> aws_arn_config: {handle_assume_role,{error,{assume_role_failed,"AWS service is unavailable"}}}

  3. Controlla la configurazione dei ruoli IAM e risolvi eventuali problemi come:

    • Assicurati che il ruolo esista nello stesso AWS account del broker

    • Verifica che la politica di fiducia consenta a mq.amazonaws.com di assumere il ruolo

    • Verifica che il ruolo disponga delle autorizzazioni appropriate per accedere alle risorse richieste AWS

  4. Convalida la correzione utilizzando l'endpoint dell'API di convalida dell'accesso ARN prima di aggiornare la configurazione del broker.

  5. Aggiorna la configurazione del broker e riavvia il broker.