Come posso risolvere gli errori di rilevamento delle deviazioni in CloudFormation con la mia regola gestita da AWS "cloudformation-stack-drift-detection-check" per AWS Config?

3 minuti di lettura
0

Voglio risolvere gli errori di rilevamento delle deviazioni in AWS CloudFormation con la mia regola gestita da AWS cloudformation-stack-drift-detection-check per AWS Config.

Breve descrizione

Puoi ricevere i seguenti errori anche se lo stato di deviazione dello stack è IN_SYNC nella console CloudFormation:

  • "AWS CloudFormation non è riuscito a rilevare la deviazione, l'impostazione predefinita è NON_COMPLIANT. Rivaluta la regola e riprova. Se il problema persiste, contatta l'assistenza di AWS CloudFormation."
  • "L'operazione di rilevamento della deviazione dello stack per lo stack specifico non è riuscita. Verifica le autorizzazioni esistenti per i ruoli di AWS CloudFormation e aggiungi le autorizzazioni mancanti."

A seconda dell'errore che ricevi, scegli una delle seguenti opzioni:

  • Se ricevi l'errore NON CONFORME, completa i passaggi nella sezione Aggiorna le regole di AWS Config.
  • Se ricevi l'errore di autorizzazione, completa i passaggi nella sezione Imposta le autorizzazioni corrette.

Nota: la regola gestita da AWS cloudformation-stack-drift-detection-check verifica gli stack di CloudFormation per il rilevamento delle deviazioni utilizzando l'API DetectStackDrift. Questa regola ha un tipo di trigger di modifica periodico e di configurazione. Se il rilevamento della deviazione non riesce, viene visualizzato un messaggio di errore.

Soluzione

Aggiornare le regole di AWS Config

Puoi ricevere un messaggio di errore NON_COMPLIANT nella console AWS Config per i seguenti motivi:

  • Le risorse del tuo stack CloudFormation non supportano il rilevamento delle deviazioni. Riceverai un errore come annotazione sulla risorsa NON_COMPLIANT per la tua regola AWS Config. Ad esempio, riceverai l’errore "Il rilevamento della deviazione non è supportato per ResourceType" nel log di AWS CloudTrail.
  • La tua regola AWS Config dipende dalla disponibilità di DetectStackDrift. Viene visualizzato un errore di limitazione o "Frequenza superata" perché AWS Config imposta la regola su NON_COMPLIANT quando si verifica la limitazione.

Per risolvere l'errore derivante dall'assenza di supporto per il rilevamento della deviazione:

Ignora lo stack CloudFormation con stato NON_COMPLIANT. L'errore è un falso positivo in questo scenario. Per ulteriori informazioni, consulta Evaluating Your Resources.

-oppure-

Crea una regola AWS Config personalizzata che includa una disposizione per escludere i tuoi stack dalle valutazioni. Consulta la Repository delle regole AWS Config e RDKLib per esempi di regole di AWS Config.

Per risolvere l'errore derivante dalla disponibilità di DetectStackDrift:

1.    Valuta nuovamente la tua regola di AWS Config.

Nota: ad esempio, puoi allegare le autorizzazioni affidabili di config.amazonaws.com e le autorizzazioni policy ReadOnlyAccess (AWS Managed) per il nome della risorsa Amazon (ARN) del ruolo, fornite nel parametro obbligatorio della regola cloudformationRoleArn. Per ulteriori informazioni, consulta Considerazioni sui rilevamenti delle deviazioni.

2.    Esegui il rilevamento delle deviazioni sui tuoi stack CloudFormation.

3.    Esegui la valutazione tramite la tua regola AWS Config.

Imposta le autorizzazioni corrette

Ricevi un errore di autorizzazione quando il ruolo AWS Identity and Access Management (IAM) per il parametro cloudformationRoleArn richiesto non dispone dell'API DetectStackDrift, dell'API DetectStackResourceDrift o di altre autorizzazioni di servizio richieste.

Per risolvere questo errore, modifica la policy di attendibilità per il tuo ruolo IAM. Devi allegare le autorizzazioni config.amazonaws.com e ReadOnlyAccess (AWS Managed) per cloudformationRoleArn.

Informazioni correlate

Workshop su CloudFormation: Laboratorio di rilevamento delle deviazioni


AWS UFFICIALE
AWS UFFICIALEAggiornata 3 anni fa