記錄 AD 同步和可設定的 AD 同步錯誤 - AWS IAM Identity Center
啟用 AD 同步和可設定的 AD 同步錯誤記錄停用 AD 同步和可設定的 AD 同步錯誤記錄AD 同步處理和可設定 AD 同步錯誤記錄欄位AD 同步和可設定的 AD 同步錯誤記錄範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

記錄 AD 同步和可設定的 AD 同步錯誤

您可以在 Active Directory (AD) 同步處理和可設定的 AD 同步設定上啟用記錄,以接收記錄檔,其中包含同步處理程序期間可能發生之錯誤的相關資訊。使用這些記錄檔,您可以監控 AD 同步處理和可設定 AD 同步處理是否有問題,並採取適用的動作。您可以將日誌傳送到 Amazon CloudWatch 日誌日誌群組、亞馬遜簡單儲存服務 (Amazon S3) 儲存貯體或 Amazon 資料防火軟管 (支援 Amazon S3 儲存貯體和 Firehose 的跨帳戶交付)。

如需有關限制、權限和付費記錄檔的詳細資訊,請參閱啟用記錄來源 AWS 服務

注意

系統會向您收取記錄費用。如需詳細資訊,請參閱 Amazon CloudWatch 定價頁面上的付費日誌

啟用 AD 同步和可設定的 AD 同步錯誤記錄

  1. 登入IAM身分識別中心主控台

  2. 選擇設定

  3. 在 [定] 頁面上,選擇 [身分識別來源] 索引標籤,選擇 [動作],然後選擇 [管理記錄檔

  4. 選擇 [新增記錄傳送] 和下列其中一個目的地類型。

    1. 擇 Amazon CloudWatch 日誌。然後選擇或輸入目的地記錄群組。

    2. 擇 Amazon S3。然後選擇或輸入目標值區。

    3. 選擇「到 Firehose」。然後選擇或輸入目的地傳送串流。

  5. 選擇提交

停用 AD 同步和可設定的 AD 同步錯誤記錄

  1. 登入IAM身分識別中心主控台

  2. 選擇設定

  3. 在 [定] 頁面上,選擇 [身分識別來源] 索引標籤,選擇 [動作],然後選擇 [管理記錄檔

  4. 選擇 [移除] 做為您要移除的目的地。

  5. 選擇提交

AD 同步處理和可設定 AD 同步錯誤記錄欄位

如需可能的錯誤記錄欄位,請參閱下列清單。

sync_profile_name

同步設定檔的名稱。

error_code

代表發生錯誤類型的錯誤代碼。

error_message

包含所發生錯誤之詳細資訊的訊息。

sync_source

同步來源是實體正在同步的來源。對於IAM身分識別中心,這是由管理的作用中目錄 (AD) AWS Directory Service。同步來源包含受影響ARN的網域和目錄。

sync_target

同步目標是儲存實體的目的地。對於IAM身分識別中心,這是識別身分存放區。同步目標包含ARN受影響的識別身分存放區。

source_entity_id

造成錯誤之實體的唯一識別碼。對於IAM身分識別中心,這是實體SID的。

source_entity_type

造成錯誤的實體類型。此值可以為 USERGROUP

eventTimestamp

錯誤發生時的時間戳記。

AD 同步和可設定的 AD 同步錯誤記錄範例

範例 1:AD 目錄的過期密碼的錯誤記錄

{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "InvalidDirectoryCredentials", 
        "error_message": "The password for your AD directory has expired. Please reset the password to allow Identity Sync to access the directory." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:123456789:directory/d-123456",
        "domain": "EXAMPLE.com" 
    },
    "eventTimestamp": "1683355579981"
}

範例 2:使用非唯一使用者名稱的使用者錯誤記錄

{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "ConflictError", 
        "error_message": "The source entity has a username conflict with the sync target. Please verify that the source identity has a unique username in the target." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:111122223333:directory/d-123456",
        "domain": "EXAMPLE.com"
    },
    "sync_target": {
        "arn": "arn:aws:identitystore::111122223333:identitystore/d-123456" 
    },
    "source_entity_id": "SID-1234",
    "source_entity_type": "USER",
    "eventTimestamp": "1683355579981"
}