为什么我的 AWS Config 规则的 required-tag 状态一直处于“正在评估”状态?

上次更新时间:2020 年 8 月 6 日

我使用 required-tag 创建了 AWS Config 托管规则来检查特定资源。但是,带 required-tag 状态的 AWS Config 规则仍“正在评估”资源或报告意外结果。

解决方法

在使用 required-tag 创建和编辑 AWS Config 规则时,请使用以下最佳实践。

  • AWS Config 配置记录器必须打开并在与 AWS Config 规则相同的 AWS 区域中配置。要打开或关闭配置记录器,请参阅管理配置记录器
  • 使用 required-tag 的 AWS Config 规则通常会在 20 分钟或更短时间内返回结果。由于下游依赖关系,结果可能会因服务或资源类型的不同而有所差异。
  • 如果 AWS Config 规则更改范围设置为资源,请验证是否为触发器指定了资源类型(例如,EC2::Instance)。
  • 如果 AWS Config 规则更改范围设置为带有或不带标签值的标签,则必须使用标签键标记支持的资源。
  • 验证分配给 AWS Config 的 IAM 角色是否附加了 AWSConfigRole 托管策略。有关更多信息,请参阅 IAM 角色策略以获取配置详细信息
  • 要将 AWS Config 配置为记录到 Amazon Simple Storage Service (Amazon S3) 存储桶中,请验证权限是否允许记录更改。有关更多信息,请参阅有关记录 S3 存储桶的问题排查