資格分析のトラブルシューティング

資格分析をトラブルシューティングし、新規および既存ジョブの問題を検出する方法について説明します。

エラーメッセージ

考えられる解決法

failed to discover aws rds resources, for analysis ID xxxxxx with connection ID xxxxx in Team xxxx, error: error paginating list of RDS DB instances for account xxxxx and region af-south-1: operation error RDS: DescribeDBInstances failed to sign request: failed to retrieve credentials: failed to refresh cached credentials, operation error STS: AssumeRole, https response error StatusCode: 403, RequestID: xxxxx, api error AccessDenied: User: arn:aws:sts::xxxx is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::xxxxxx:role/OktaPAMResourcesReadOnlyRole

  • 各AWSメンバーアカウント内の固定ロールに、管理AWSアカウントとの接続に使用されたOkta AWSアカウントの外部IDが含まれる信頼ポリシーが構成されていることを確認します。また、信頼ポリシープリンシパルは、AWS管理アカウント内の統合ロールのARNを参照する必要があります。

  • すべてのメンバーアカウント内で、OktaPAMResourcesReadOnlyロールの正しいARNが含まれる統合ロールにポリシーを添付したことを確認します。

failed to build aws client with role: arn:aws:iam::XXXXX:role/XXXXX and externalId: XXXXX for the Team: XXXXXX

  • Okta Privileged Access接続のセットアップ画面で、統合ロールに正しい外部IDが構成されていることを確認します。

failed to discover aws rds resources, for analysis ID xxxx with connection ID xxxx in Team xxx, error: error paginating list of RDS DB instances for account xxx and region xxx: operation error RDS: DescribeDBInstances, https response error StatusCode: 403, RequestID: xxx, api error AccessDenied: User: arn:aws:sts::xxxx:assumed-role/xxx is not authorized to perform: rds:DescribeDBInstances on resource: arn:aws:rds:xxx:* because no identity-based policy allows the rds:DescribeDBInstances action

  • メンバーアカウント内の検出ロール(OktaPAMResourcesReadOnlyロール)内の権限に、RDS APIを呼び出すための権限が含まれていることを確認します。

関連項目

資格分析

クラウドインフラストラクチャの資格の検出と分析