View a markdown version of this page

SharePoint データソースのトラブルシューティング - Amazon Bedrock

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SharePoint データソースのトラブルシューティング

このページを使用して、SharePoint 認証、データソースの作成、同期に関する一般的な問題を診断します。ドキュメントレベルのアクセスコントロールに固有の問題については、「」のトラブルシューティング表を参照してくださいドキュメントレベルのアクセスコントロール

データソースの作成と接続エラー

作成および接続エラー
症状 考えられる原因 Fix
データソースはすぐに失敗し、null にconnectionConfiguration.certificateS3Pathすることはできません。 authTypeENTRA_ID_APP_ONLYですが、証明書パスが指定されていません。この認証タイプには、ACLs が無効になっている場合でも、常に証明書が必要です。 Amazon S3 の.p12証明書connectionConfigurationを指す certificateS3Pathに を追加します。「SharePoint の Microsoft Entra ID アプリ専用認証を設定する」を参照してください。
無効なテナント ID。 テナント ID の形式が正しくないか、Microsoft Entra テナントと一致しません。 Microsoft Entra 管理センターのアプリケーションの概要ページからディレクトリ (テナント) ID をコピーします。
無効なクライアント ID、またはアプリケーションが見つかりません。 シークレットclientIdの が正しくないか、アプリ登録が存在しません。 アプリケーション概要ページからアプリケーション (クライアント) ID をコピーし、シークレットを更新します。
SharePoint に接続できません。 1 つ以上の認証情報が正しくないか、アプリケーションに必要なアクセス許可または管理者の同意がありません。 シークレット値を確認し、アプリケーションのアクセス許可を確認し、管理者の同意を付与します。「SharePoint の Microsoft Entra ID アプリ専用認証を設定する」を参照してください。
ナレッジベースサービスロールは証明書を読み取ることができません。 証明書オブジェクトs3:GetObjectにサービスロールがないか、ロールが使用できないカスタマーマネージドキーで暗号化されています。 証明書s3:GetObjectに を付与し、オブジェクトがカスタマーマネージド KMS キーを使用している場合は、そのキーkms:Decryptに を付与します。「ステップ 8: サービスロールに証明書へのアクセス権を付与する」を参照してください。

証明書エラー (Microsoft Entra ID アプリのみ)

証明書エラー
症状 考えられる原因 Fix
同期中の証明書パスワードまたはトークンマイニングエラー。 .p12 パスワードがシークレットcertificatePasswordの と一致しません。 .p12 ファイルの作成に使用するパスワードcertificatePasswordに設定するか、既知のパスワードでバンドルを再作成します。
すべての同期が失敗する前と現在、認証は機能していました。 証明書の有効期限が切れているか、管理者の同意が取り消されました。 新しい証明書を生成し、Entra アプリ登録にパブリック証明書をアップロードし、Amazon S3 .p12の を置き換え、管理者の同意を再付与します。
同期は失敗し、証明書を X.509 または PKCS#12 としてロードできなかったというエラー (たとえば、「無効な証明書形式 — X.509 または PKCS12 としてロードできませんでした」) が発生します。 Amazon Bedrock は、提供された認証情報を使用して Amazon S3 の証明書を読み取ることができませんでした。一般的な理由には、シークレットcertificatePasswordの欠落または空白、間違ったオブジェクト (.cer/PEM ファイルや残りのオブジェクトなど) certificateS3Pathを指す 、シークレットと一致しなくなった証明書などがあります。これは、データソースを再設定するか、認証方法を切り替えた後に発生する可能性が高くなります。 データソースによって参照されるシークレットに、.p12バンドルcertificatePasswordに一致する が含まれ、その が をcertificateS3Path指していることを確認します.p12。データソースを再設定した場合は、証明書とシークレットがまだ対応していることを確認してから、再度同期します。

証明書をローテーションする

有効期限が切れる前に証明書をローテーションします。証明書の有効期限が切れると、すべての同期が失敗します。アクセスを中断せずにローテーションするには、新しい証明書を別のオブジェクトとしてアップロードし、データソースを切り替えて、カットオーバーするまで既存の証明書が動作し続けます。

  1. 「」の説明に従って、新しい証明書と PKCS#12 (.p12) バンドルを生成しますSharePoint の Microsoft Entra ID アプリ専用認証を設定する

  2. Entra アプリの登録で、証明書とシークレットで、新しいパブリック証明書をアップロードします。既存の証明書はそのままにしておきます。アプリ登録は複数の証明書を保持できます。

  3. 新しいオブジェクトキーで新しい.p12バンドルを Amazon S3 にアップロードします (既存の証明書オブジェクトを上書きしないでください)。ナレッジベースサービスロールが新しいオブジェクトを読み取れることを確認します。

  4. 新しいオブジェクトcertificateS3Pathを指すようにデータソースを更新し、新しいバンドルと一致するようにシー AWS Secrets Manager クレットcertificatePasswordの を更新します。UpdateDataSource オペレーションまたは を使用します AWS マネジメントコンソール。

  5. 同期を開始し、新しい証明書で正常に完了することを確認します。

  6. 同期が成功したら、Entra アプリ登録から古い証明書を削除し、Amazon S3 から古い.p12オブジェクトを削除します。

OAuth 2.0 認証エラー

OAuth 2.0 エラー
症状 考えられる原因 Fix
同期が失敗し、REST API トークンリクエストがステータス 400 で失敗したというメッセージが表示されます。 アカウントには、リソース所有者パスワード認証情報フローが満たすことができない MFA または条件付きアクセスが必要です。または、シークレットに userName または passwordフィールドがありません。 シークレットに clientIdclientSecretuserName、 が含まれていることを確認しますpassword。アカウントが MFA または条件付きアクセスを強制する場合は、 に切り替えますSharePoint の Microsoft Entra ID アプリ専用認証を設定する
アカウントのパスワードが変更されると、同期は失敗します。 保存されたパスワードは無効になりました。 シークレットの passwordフィールドを更新します。

同期エラー

同期エラー
症状 考えられる原因 Fix
同期は完了しますが、インデックスが作成されたドキュメントはありません。 アプリケーションは設定されたサイトにアクセスできません。ではSites.Selected、サイトごとのアクセス許可が付与されない場合があります。 アプリケーションのアクセス許可と管理者の同意を確認します。を使用する場合はSites.Selected、各サイトのサイトごとの許可を確認します。「ステップ 5 (Sites.Selected のみ): サイトごとのアクセス許可を付与する」を参照してください。
新しく追加されたサイトはクロールされません (Sites.Selected)。 サイトごとの権限は遡及的ではないため、新しいサイトには権限はありません。 コネクタアプリケーションに新しいサイトへのアクセスを許可し、再度同期します。
特定のパスは結果を返しません。 パスがブラウザ URL として入力されたか、項目が SharePoint で移動または名前が変更されました。 (ブラウザ URL ではなく) SharePoint パスを使用し、そのパスに項目がまだ存在することを確認します。

ドキュメントレベルのアクセスコントロールの問題

ACL の設定ミスは、取得中に明示的なエラーを生成しません。代わりに、クエリはより少ないまたはゼロの結果を返します。ACL 固有の症状、検証手順、および修正については、「」を参照してくださいドキュメントレベルのアクセスコントロール