Enregistrement des erreurs de synchronisation AD et de synchronisation AD configurables - AWS IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Enregistrement des erreurs de synchronisation AD et de synchronisation AD configurables

Vous pouvez activer la connexion sur votre synchronisation Active Directory (AD) et configurer des configurations de synchronisation AD configurables pour recevoir des journaux contenant des informations sur les erreurs susceptibles de se produire pendant le processus de synchronisation. Grâce à ces journaux, vous pouvez vérifier s'il existe un problème avec votre synchronisation AD et la synchronisation AD configurable et prendre des mesures le cas échéant. Vous pouvez envoyer vos journaux vers un groupe de CloudWatch journaux Amazon Logs, un bucket Amazon Simple Storage Service (Amazon S3) ou un Amazon Data Firehose dont la livraison entre comptes est prise en charge pour les buckets Amazon S3 et Firehose.

Pour plus d'informations sur les limitations, les autorisations et les journaux vendus, consultez la section Activation de la journalisation à partir de Services AWS.

Note

La connexion vous est facturée. Pour plus d'informations, consultez Vended Logs sur la page de CloudWatch tarification d'Amazon.

Pour activer la synchronisation AD et les journaux d'erreurs configurables de synchronisation AD

  1. Connectez-vous à la console IAM Identity Center.

  2. Sélectionnez Settings (Paramètres).

  3. Sur la page Paramètres, choisissez l'onglet Source d'identité, sélectionnez Actions, puis sélectionnez Gérer les journaux.

  4. Choisissez Ajouter la livraison du journal et l'un des types de destination suivants.

    1. Choisissez To Amazon CloudWatch Logs. Choisissez ou entrez ensuite le groupe de journaux de destination.

    2. Choisissez To Amazon S3. Choisissez ou entrez ensuite le compartiment de destination.

    3. Choisissez To Firehose. Choisissez ou entrez ensuite le flux de diffusion de destination.

  5. Sélectionnez Envoyer.

Pour désactiver la synchronisation AD et les journaux d'erreurs configurables

  1. Connectez-vous à la console IAM Identity Center.

  2. Sélectionnez Settings (Paramètres).

  3. Sur la page Paramètres, choisissez l'onglet Source d'identité, sélectionnez Actions, puis sélectionnez Gérer les journaux.

  4. Choisissez Supprimer pour la destination que vous souhaitez supprimer.

  5. Sélectionnez Envoyer.

Champs du journal des erreurs de synchronisation AD et de synchronisation AD configurables

Consultez la liste suivante pour connaître les éventuels champs du journal des erreurs.

sync_profile_name

Nom du profil de synchronisation.

error_code

Le code d'erreur qui représente le type d'erreur qui s'est produit.

error_message

Message contenant des informations détaillées sur l'erreur survenue.

sync_source

La source de synchronisation est l'endroit à partir duquel les entités sont synchronisées. Pour IAM Identity Center, il s'agit d'un Active Directory (AD) géré par AWS Directory Service. La source de synchronisation contient le domaine et ARN le répertoire concernés.

sync_target

La cible de synchronisation est la destination où les entités sont enregistrées. Pour IAM Identity Center, il s'agit d'un magasin d'identités. La cible de synchronisation contient le magasin d'identités ARN concerné.

source_entity_id

Identifiant unique de l'entité à l'origine de l'erreur. Pour IAM Identity Center, il s'agit SID de l'entité.

source_entity_type

Type d'entité à l'origine de l'erreur. La valeur peut être USER ou GROUP.

eventTimestamp

Horodatage auquel l'erreur s'est produite.

Exemples de journaux d'erreurs de synchronisation AD et de synchronisation AD configurable

Exemple 1 : journal des erreurs pour un mot de passe expiré pour un annuaire AD

{ "sync_profile_name": "EXAMPLE-PROFILE-NAME", "error" : { "error_code": "InvalidDirectoryCredentials", "error_message": "The password for your AD directory has expired. Please reset the password to allow Identity Sync to access the directory." }, "sync_source": { "arn": "arn:aws:ds:us-east-1:123456789:directory/d-123456", "domain": "EXAMPLE.com" }, "eventTimestamp": "1683355579981" }

Exemple 2 : journal des erreurs pour un utilisateur dont le nom d'utilisateur n'est pas unique

{ "sync_profile_name": "EXAMPLE-PROFILE-NAME", "error" : { "error_code": "ConflictError", "error_message": "The source entity has a username conflict with the sync target. Please verify that the source identity has a unique username in the target." }, "sync_source": { "arn": "arn:aws:ds:us-east-1:111122223333:directory/d-123456", "domain": "EXAMPLE.com" }, "sync_target": { "arn": "arn:aws:identitystore::111122223333:identitystore/d-123456" }, "source_entity_id": "SID-1234", "source_entity_type": "USER", "eventTimestamp": "1683355579981" }