このエラーは通常、Datadog インテグレーションロールに関連する信頼ポリシーに問題があることを示しています。ほとんどの場合、この問題はロールの委譲プロセスによって引き起こされます。

エラーに記載されている AWS アカウントについて、以下の点をご確認ください。

  1. IAM ロールを作成した場合、Datadog AWS インテグレーションページで正しい IAM ロール名を使用していることを確認してください。AWS または Datadog に余分なスペースや文字があると、ロールの委任が失敗します。CloudFormation を使用してロールをデプロイした場合、デフォルトの IAM ロール名は DatadogIntegrationRole に設定されています。

  2. AWS の Datadog インテグレーションロールのページで、Trust relationships タブの下に、Principal が以下のように構成されていることを確認します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::464622532012:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "<YOUR_AWS_EXTERNAL_ID>"
                }
            }
        }
    ]
}

  1. IAM ロールを作成した場合、Datadog AWS インテグレーションページで正しい IAM ロール名を使用していることを確認してください。AWS または Datadog に余分なスペースや文字があると、ロールの委任が失敗します。CloudFormation を使用してロールをデプロイした場合、デフォルトの IAM ロール名は DatadogIntegrationRole に設定されています。

  2. AWS の Datadog インテグレーションロールのページで、Trust relationships タブの下に、Principal が以下のように構成されていることを確認します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::417141415827:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "<YOUR_AWS_EXTERNAL_ID>"
                }
            }
        }
    ]
}

  1. ロールページの AWS External ID は、AWS インテグレーションページAccount Details タブの AWS External ID の値と一致する必要があります。AWS の IAM ロールを Datadog のインテグレーションページから AWS External ID の値で更新するか、Datadog で新しい AWS External ID を生成して Save をクリックします。

    AWS Role Name フィールドと AWS External ID フィールド、Generate New ID ボタンがある Datadog AWS インテグレーションページ

  2. 新しい AWS External ID を生成した場合は、AWS の信頼ポリシーに追加します。

    sts:ExternalId パラメータをハイライトした AWS Trust Policy ドキュメント

: エラーは、変更が反映されるまでの数時間、UI で継続する可能性があります

1 つまたはいくつかの地域に限定して STS AssumeRole エラーが表示される場合

Datadog is not authorized to perform action sts:AssumeRole Account affected:<account_id> Regions affected: us-east-1, eu-west-1

問題の原因は、AWS Service Control Policies にある可能性があります。

Service control policies (SCPs) are a type of organization policy that you can use to manage permissions in your organization. SCPs offer central control over the maximum available permissions for all accounts in your organization. SCPs help you to ensure your accounts stay within your organization's access control guidelines.

インテグレーションページでのエラーを取り除くには、AWS インテグレーションで General タブで地域を除外するか、Update an AWS integration API を使用してください。

さらにヘルプが必要な場合は、Datadog サポートまでお問い合わせください。

その他の参考資料

お役に立つドキュメント、リンクや記事:

PREVIEWING: antoine.dussault/service-representation-ga-docs-us1