¿Cómo puedo resolver los errores de permisos mediante la corrección automática de la regla s3-bucket-logging-enabled de AWS Config?
Configuré la regla s3-bucket-logging-enabled de AWS Config para corregir automáticamente los buckets de Amazon Simple Storage Service (Amazon S3) que no cumplan con los requisitos. Sin embargo, la ejecución de la corrección falló y la consola de AWS Config muestra el error de estado de la acción «Action execution failed (details)». He abierto la página de detalles, pero no contiene suficiente información para solucionar el problema.
Breve descripción
La regla s3-bucket-logging-enabled de AWS Config utiliza el documento AWS-ConfigureS3BucketLogging de Automatización de AWS Systems Manager para corregir los recursos que no cumplan con los requisitos. El servicio Systems Manager debe estar permitido en la política de confianza del rol de automatización mediante AWS Identity and Access Management (IAM), que se pasa como parámetro AutomationAssumeRole. Además, el rol de automatización debe tener permisos PutBucketLogging y el bucket de Amazon S3 de destino debe estar configurado para almacenar registros.
Resolución
Para ver un mensaje de error más detallado, ejecute el comando describe-remediation-execution-status de la Interfaz de la línea de comandos de AWS (AWS CLI). A continuación, siga estas instrucciones para solucionar el mensaje de error. Para obtener más información, consulte How can I troubleshoot failed remediation executions in AWS Config?
**Importante: **Antes de empezar, asegúrese de haber instalado y configurado AWS CLI. Si recibe errores al ejecutar los comandos de AWS CLI, asegúrese de utilizar la versión más reciente de AWS CLI.
«El paso falla cuando se trata de ejecutar o cancelar una acción. Se produjo un error (MalformedXML) al llamar a la operación PutBucketLogging: El XML que proporcionó no estaba bien formado o no se validó con nuestro esquema publicado. Consulte la Guía de solución de problemas del servicio de automatización para obtener más detalles sobre el diagnóstico».
Para resolver este mensaje de error, consulte Why did the AWS Config auto remediation action for the SSM document AWS-ConfigureS3BucketLogging fail with the error "(MalformedXML)" when calling the PutBucketLogging API?
«El paso falla cuando se trata de ejecutar o cancelar una acción. Se ha producido un error (AccessDenied) al llamar a la operación PutBucketLogging: Acceso denegado. Consulte la Guía de solución de problemas del servicio de automatización para obtener más detalles sobre el diagnóstico».
Este error se produce porque el rol AutomationAssumeRole no tiene permisos para llamar a la API PutBucketLogging en los buckets de S3 que no cumplen con los requisitos. Puede utilizar el siguiente ejemplo de política para permitir que el rol llame a la API PutBucketLogging:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:PutBucketLogging", "Resource": [ "arn:aws:s3:::<BUCKET_NAME_1>", "arn:aws:s3:::<BUCKET_NAME_2>", "arn:aws:s3:::<BUCKET_NAME_3>" ] } ] }
**Nota:**Si necesita que la corrección se realice en todos los buckets de una región de AWS, limite el permiso del rol a una región específica mediante la clave de condición aws:RequestedRegion.
«Se enviaron parámetros de ejecución no válidos a Systems Automation. No se puede asumir el rol de asunción definido».
Este error se produce porque el servicio de automatización de Systems Manager no puede asumir el rol de IAM AutomationAssumeRole. Utilice el siguiente ejemplo de política para permitir que Systems Manager asuma el rol de IAM:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Información relacionada
Remediating noncompliant AWS resources by AWS Config rules
Amazon S3 bucket compliance using AWS Config Auto Remediation feature
Contenido relevante
- OFICIAL DE AWSActualizada hace 3 años
- OFICIAL DE AWSActualizada hace 3 años
- OFICIAL DE AWSActualizada hace 3 años