Come posso risolvere le azioni correttive non riuscite in AWS Config?

3 minuti di lettura

Ho seguito le istruzioni per correggere le risorse AWS non conformi di AWS Config Rules. Tuttavia, l'azione correttiva non è riuscita e la console di AWS Config visualizza l'errore di stato dell'azione "Esecuzione dell'azione non riuscita (dettagli)". Ho aperto la pagina Dettagli, ma non contiene informazioni sufficienti per risolvere il problema.

Risoluzione

Segui queste istruzioni per risolvere l'errore delle azioni di correzione utilizzando l'interfaccia della linea di comando AWS (AWS CLI) o la cronologia degli eventi di AWS CloudTrail.

Nota: Se ricevi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS, assicurati di utilizzare la versione più recente dell'interfaccia della linea di comando AWS.

INTERFACCIA DELLA LINEA DI COMANDO AWS

1. Esegui il comando dell'interfaccia della linea di comando AWS per describe-remediation-execution-status per un messaggio di errore più dettagliato, lo stato e i timestamp per azioni correttive simili alle seguenti:

aws configservice describe-remediation-execution-status \
     --config-rule-name example-rule \
     --region example-region \
     --resource-keys resourceType=example-resource-type,resourceId=example-resource-ID

**Nota:**Sostituisci example-rule, example-region, example-resource-type e example-resource-ID con il nome, la regione, il tipo di risorsa e l'ID della risorsa di AWS Config.

2. Riceverai un output simile al seguente:

{
    "RemediationExecutionStatuses": [
        {
            "ResourceKey": {
                "resourceType": "AWS::EC2::Volume",
                "resourceId": "vol-0b399a24561582586"
            },
            "State": "FAILED",
            "StepDetails": [
                {
                    "Name": "createDocumentStack",
                    "State": "FAILED",
                    "ErrorMessage": "Automation Step Execution fails when it is creating a CloudFormation stack.
Get Exception from CreateStack API of cloudformation Service. Exception Message from CreateStack API:
[User: arn:aws:sts::xxxxx:assumed-role/config-remediation-sshpublic-role-zkga0ot3/config-remediation-sshpublic is not authorized to perform: cloudformation:CreateStack
on resource: arn:aws:cloudformation:eu-west-2:xxxxx:stack/DetachEBSVolumeStack2f6d3590-ea2c-424a-97ea-045749f07164/*
(Service: AmazonCloudFormation; Status Code: 403; Error Code: AccessDenied; Request ID: b8f41dd6-9020-11e9-897d-f9719db1a9e6)].
Please refer to Automation Service Troubleshooting Guide for more diagnosis details.",
                    "StartTime": 1560680582.675,
                    "StopTime": 1560680582.884
                },
                {
                    "Name": "detachVolume",
                    "State": "PENDING"
                },
                {
                    "Name": "deleteCloudFormationTemplate",
                    "State": "PENDING"
                }
            ],
            "InvocationTime": 1560680582.419,
            "LastUpdatedTime": 1560680583.67
        }
    ]
}

3. Nell'elenco StepDetails, annota il messaggio di errore e la causa dell'errore.

Cronologia eventi CloudTrail

1. Apri la console AWS CloudTrail.

2. Segui le istruzioni per visualizzare gli eventi CloudTrail nella console CloudTrail.

3. L'azione API StartAutomationExecution viene richiamata quando AWS Config avvia un'azione di correzione. Filtra il Nome dell'evento con l'API StartAutomationExecution e, nella pagina dei dettagli dell'evento, copia il requestID.

4. Apri la console di AWS Systems Manager, quindi scegli Automazione dal riquadro di navigazione.

5. Incolla il requestID nel campo di ricerca Documento di automazione.

6. Quindi, individua l'azione eseguita dalla correzione. Verifica che l'errore riguardi le autorizzazioni di AWS Identity e Access Management (IAM), i problemi di sintassi o i parametri errati configurati nell'azione di correzione.