记录 AD 同步和可配置的 AD 同步错误 - Amazon IAM Identity Center
启用 AD 同步和可配置的 AD 同步错误日志禁用 AD 同步和可配置的 AD 同步错误日志AD 同步和可配置的 AD 同步错误日志字段AD 同步和可配置的 AD 同步错误日志示例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

记录 AD 同步和可配置的 AD 同步错误

您可以在 Active Directory (AD) 同步和可配置的 AD 同步配置上启用日志功能,以接收包含同步过程中可能发生的错误信息的日志。利用这些日志,您可以监控 AD 同步和可配置的 AD 同步是否存在问题,并在适用时采取措施。您可以将日志发送到亚马逊 CloudWatch 日志组、亚马逊简单存储服务 (Amazon S3) Service 存储桶或支持跨账户传输的亚马逊数据 Firehose,Amazon S3 存储桶和 Firehose 支持跨账户传输。

有关限制、权限和公开日志的更多信息,请参阅从中 Amazon Web Services启用日志记录

注意

您需要为登录付费。有关更多信息,请参阅 Amazon CloudWatch 定价页面上的销售日志

启用 AD 同步和可配置的 AD 同步错误日志

  1. 登录 IA M 身份中心控制台

  2. 选择设置

  3. “设置” 页面上,选择 “身份来源” 选项卡,选择 “操作”,然后选择 “管理日志”。

  4. 选择添加日志传送和以下目标类型之一。

    1. 选择 “收到 Amazon CloudWatch 日志”。然后选择或输入目标日志组。

    2. 选择 “前往亚马逊 S3”。然后选择或输入目标存储桶。

    3. 选择 To Firehose。然后选择或输入目标传送流。

  5. 选择提交

禁用 AD 同步和可配置的 AD 同步错误日志

  1. 登录 IA M 身份中心控制台

  2. 选择设置

  3. “设置” 页面上,选择 “身份来源” 选项卡,选择 “操作”,然后选择 “管理日志”。

  4. 对于要删除的目的地,选择 “移除”。

  5. 选择提交

AD 同步和可配置的 AD 同步错误日志字段

有关可能的错误日志字段,请参阅以下列表。

sync_profile_name

同步配置文件的名称。

error_code

表示发生了哪种错误类型的错误的错误代码。

error_message

一条包含有关所发生错误的详细信息的消息。

sync_source

同步源是实体同步的地方。对于 IAM 身份中心,这是由管理的活动目录 (AD) Amazon Directory Service。同步源包含受影响目录的域和 ARN。

sync_target

同步目标是保存实体的目的地。对于 IAM 身份中心来说,这是一个身份存储。同步目标包含受影响的身份存储 ARN。

source_entity_id

导致错误的实体的唯一标识符。对于 IAM 身份中心,这是实体的 SID。

source_entity_type

导致错误的实体类型。该值可以是 USERGROUP

eventTimestamp

错误发生的时间戳。

AD 同步和可配置的 AD 同步错误日志示例

示例 1:AD 目录密码过期的错误日志

{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "InvalidDirectoryCredentials", 
        "error_message": "The password for your AD directory has expired. Please reset the password to allow Identity Sync to access the directory." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:123456789:directory/d-123456",
        "domain": "EXAMPLE.com" 
    },
    "eventTimestamp": "1683355579981"
}

示例 2:用户名不唯一的错误日志

{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "ConflictError", 
        "error_message": "The source entity has a username conflict with the sync target. Please verify that the source identity has a unique username in the target." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:111122223333:directory/d-123456",
        "domain": "EXAMPLE.com"
    },
    "sync_target": {
        "arn": "arn:aws:identitystore::111122223333:identitystore/d-123456" 
    },
    "source_entity_id": "SID-1234",
    "source_entity_type": "USER",
    "eventTimestamp": "1683355579981"
}