Error: Datadog no está autorizado a realizar sts:AssumeRole
Este error suele indicar un problema con la política de confianza asociada al rol de integración de Datadog. La mayoría de las veces, este problema está causado por el proceso de delegación de rol.
Comprueba los siguientes puntos para la cuenta de AWS mencionada en el error:
Si has creado un rol de IAM, asegúrate de que estás utilizando el nombre de rol de IAM correcto en la página de la integración de Datadog AWS. Los espacios o caracteres adicionales en AWS o Datadog hacen que falle la delegación del rol. Si desplegaste el rol con CloudFormation, el nombre de rol de IAM predeterminado se establece como DatadogIntegrationRole.
En la página del rol de integración de Datadog en AWS, bajo la pestaña Trust relationships (Relaciones de confianza), asegúrate de que Principal está configurado como se indica a continuación:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::464622532012:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "<YOUR_AWS_EXTERNAL_ID>"
}
}
}
]
}
Si has creado un rol de IAM, asegúrate de que estás utilizando el nombre de rol de IAM correcto en la página de la integración de Datadog AWS. Los espacios o caracteres adicionales en AWS o Datadog hacen que falle la delegación del rol. Si desplegaste el rol con CloudFormation, el nombre de rol de IAM predeterminado se establece como DatadogIntegrationRole.
En la página del rol de integración de Datadog en AWS, bajo la pestaña Trust relationships (Relaciones de confianza), asegúrate de que Principal está configurado como se indica a continuación:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::417141415827:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "<YOUR_AWS_EXTERNAL_ID>"
}
}
}
]
}
El ID externo de AWS de la página de roles debe coincidir con el valor del ID externo de AWS de la pestaña Account Details (Detalles de la cuenta) en la página integración de AWS. Actualiza el rol de IAM en AWS con el valor del ID externo de AWS de la página de la integración en Datadog, o genera un nuevo ID externo de AWS en Datadog y haz clic en Save (Guardar):
Si has generado un nuevo ID externo de AWS, añádelo a tu política de confianza de AWS:
Nota: El error puede persistir en la interfaz de usuario durante unas horas mientras se propagan los cambios.
Si ves el error STS AssumeRole limitado a una o unas pocas regiones:
Datadog is not authorized to perform action sts:AssumeRole Account affected:<account_id> Regions affected: us-east-1, eu-west-1
El origen del problema podría ser las Políticas de control de servicios de AWS.
Service control policies (SCPs) are a type of organization policy that you can use to manage permissions in your organization. SCPs offer central control over the maximum available permissions for all accounts in your organization. SCPs help you to ensure your accounts stay within your organization's access control guidelines.
Para eliminar el error de la página de la integración, puedes excluir regiones en tu integración de AWS en la pestaña General, o utilizar la API Actualizar una integración de AWS.
¿Todavía necesitas ayuda? Ponte en contacto con el soporte de Datadog.
Leer más
Más enlaces, artículos y documentación útiles:
