AD 同期と設定可能な AD 同期エラーのログ記録
Active Directory (AD) 同期と設定可能な AD 同期設定のログ記録を有効にして、同期プロセス中に発生する可能性のあるエラーに関する情報を含むログを得られます。これらのログを使用することで、AD 同期と設定可能な AD 同期に問題があるかどうかをモニタリングし、必要に応じてアクションを実行できます。Amazon S3 バケットと Filehose では、アカウント間の配信がサポートされており、Amazon CloudWatch Logs ロググループ、Amazon Simple Storage Service (Amazon S3) バケット、Amazon Data Firehose にログを送信できます。
制限、権限、Vended Logs の詳細については、「Enabling logging from AWS のサービス」を参照してください。
注記
ログ記録には料金がかかります。詳細については、「Amazon CloudWatch Pricing
AD 同期と設定可能な AD 同期エラーログを有効にするには
-
IAM Identity Center コンソール
にサインインします。 -
[設定] を選択します。
-
[設定] ページで [ID ソース] タブを選択して [アクション] を選択し、次に [ログの管理] を選択します。
-
[ログ配信の追加] と、次のいずれかの送信先タイプを選択します。
-
[Amazon CloudWatch Logs へ] を選択します。次に、送信先ロググループを選択または入力します。
-
[Amazon S3 へ] を選択します。次に、送信先バケットを選択または入力します。
-
[Firehose へ] を選択します。次に、送信先配信ストリームを選択または入力します。
-
-
[送信] を選択します。
AD 同期と設定可能な AD 同期エラーログを無効にするには
-
IAM Identity Center コンソール
にサインインします。 -
[設定] を選択します。
-
[設定] ページで [ID ソース] タブを選択して [アクション] を選択し、次に [ログの管理] を選択します。
-
削除したい送信先について [削除] を選択します。
-
[送信] を選択します。
AD 同期と設定可能な AD 同期エラーログフィールド
発生する可能性のあるエラーログフィールドについては、次のリストを参照してください。
sync_profile_name
-
同期プロファイルの名前。
error_code
-
発生したエラーのタイプを表すエラーコード。
error_message
-
発生したエラーに関する詳細情報を含むメッセージ。
sync_source
-
同期ソースは、エンティティが同期される場所を示します。IAM Identity Center の場合、これは AWS Directory Service によって管理される Active Directory (AD) です。同期ソースには、影響を受けるディレクトリのドメインと ARN が含まれます。
sync_target
-
同期ターゲットは、エンティティが保存される送信先です。IAM Identity Center の場合、これは ID ストアです。同期ターゲットには、影響を受ける Identity Store ARN が含まれます。
source_entity_id
-
エラーの原因となったエンティティを表す一意の識別子。IAM Identity Center の場合、これはエンティティの SID です。
source_entity_type
-
エラーの原因となったエンティティのタイプ。ここには、
USER
またはGROUP
が表示されます。 eventTimestamp
-
エラー発生時のタイムスタンプ。
AD 同期と設定可能な AD 同期エラーログの例
例 1: AD ディレクトリのパスワード期限切れのエラーログ
{ "sync_profile_name": "EXAMPLE-PROFILE-NAME", "error" : { "error_code": "InvalidDirectoryCredentials", "error_message": "The password for your AD directory has expired. Please reset the password to allow Identity Sync to access the directory." }, "sync_source": { "arn": "arn:aws:ds:us-east-1:123456789:directory/d-123456", "domain": "EXAMPLE.com" }, "eventTimestamp": "1683355579981" }
例 2: 一意でないユーザー名を持つユーザーのエラーログ
{ "sync_profile_name": "EXAMPLE-PROFILE-NAME", "error" : { "error_code": "ConflictError", "error_message": "The source entity has a username conflict with the sync target. Please verify that the source identity has a unique username in the target." }, "sync_source": { "arn": "arn:aws:ds:us-east-1:111122223333:directory/d-123456", "domain": "EXAMPLE.com" }, "sync_target": { "arn": "arn:aws:identitystore::111122223333:identitystore/d-123456" }, "source_entity_id": "SID-1234", "source_entity_type": "USER", "eventTimestamp": "1683355579981" }