为什么我不能删除 AWS Config 规则?

上次更新时间:2020 年 11 月 19 日

我无法删除 AWS Config 规则,或者我收到与以下类似的错误消息:

"An error has occurred with AWS Config."(使用 AWS Config 时出现错误)

解决方法

要排查该错误,请检查以下事项:

AWS Identity and Access Management (IAM) 实体有权执行 deleteConfigRule API 操作

  1. 打开 IAM 控制台,然后在导航窗格中选择 Users(用户)或 Roles(角色)。
  2. 选择您用于删除 AWS Config 规则的用户或角色,然后展开 Permissions policies(权限策略)。
  3. Permissions(权限)选项卡中,选择 JSON
  4. 在 JSON 预览窗格中,确认 IAM 策略允许 DeleteConfigRule API 操作的权限。

IAM 实体权限边界允许 DeleteConfigRule API 操作

如果 IAM 实体具有权限边界,请确保它允许 DeleteConfigRule API 操作。

  1. 打开 IAM 控制台,然后在导航窗格中选择 Users(用户)或 Roles(角色)。
  2. 选择您用于删除 AWS Config 规则的用户或角色,展开 Permissions boundary(权限边界),然后选择 JSON
  3. 在 JSON 预览窗格中,确认 IAM 策略允许 DeleteConfigRule API 操作的权限。

服务控制策略 (SCP) 允许 DeleteConfigRule API 操作

  1. 使用组织的管理账户打开 AWS Organizations 控制台
  2. Account name(账户名称)中,选择 AWS 账户。
  3. Policies(策略)中,展开 服务控制策略并记下附加的 SCP 策略。
  4. 在页面顶部,选择 Policies(策略)。
  5. 选择策略,然后选择 View details(查看详细信息)。
  6. 在 JSON 预览窗格中,确认策略允许 DeleteConfigRule API 操作。

该规则不是服务相关规则

启用安全标准后,AWS Security Hub 会为您创建 AWS Config 服务相关规则。您无法使用 AWS Config 删除这些服务相关规则,因此删除按钮将显示为灰色。要删除 AWS Config 服务相关规则,请参阅禁用安全标准

无正在进行的修复操作

您不能删除拥有正在进行的 修复操作的 AWS Config 规则。按照说明删除与该规则关联的修正操作。然后,尝试再次删除 AWS Config 规则。

重要提示:仅删除处于失败成功状态的修复操作。

如果修复操作无法删除,请参阅如何解决在尝试删除 AWS Config 中的修正操作时出现的错误“NoSuchRemediationConfigurationException”或“unexpected internal error”?