Come posso risolvere gli errori di autorizzazione con la correzione automatica della regola di AWS Config s3-bucket-logging-enabled?

Breve descrizione

La regola di AWS Config s3-bucket-logging-enabled utilizza il documento Automazione AWS Systems Manager AWS-ConfigureS3BucketLogging per correggere le risorse non conformi. Il servizio Systems Manager deve essere consentito nella policy di fiducia del ruolo Automation utilizzando AWS Identity and Access Management (IAM), che viene passato come parametro AutomationAssumeRole . Inoltre, il ruolo Automation deve disporre delle autorizzazioni PutBucketLogging e il bucket Amazon S3 di destinazione deve essere configurato per archiviare i log.

Risoluzione

Per un messaggio di errore più dettagliato, esegui il comando Interfaccia della linea di comando AWS (AWS CLI) describe-remediation-execution-status. Quindi, segui queste istruzioni per risolvere il messaggio di errore. Per ulteriori informazioni, consulta Come posso risolvere il problema delle esecuzioni di remediation non riuscite in AWS Config?

**Importante:**Prima di iniziare, assicurati di aver installato e configurato l'interfaccia della linea di comando AWS. Se ricevi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS, assicurati di utilizzare la versione più recente dell'interfaccia della linea di comando AWS.

"Il passaggio fallisce quando si tratta di un'azione Eseguita/Annullamento. Si è verificato un errore (MalformedXML) durante la chiamata all'operazione PutBucketLogging: Il codice XML che hai fornito non era ben formato o non è stato convalidato rispetto al nostro schema pubblicato. Per ulteriori dettagli sulla diagnosi, fai riferimento alla Guida alla risoluzione dei problemi del servizio di automazione".

Per risolvere questo messaggio di errore, consulta Perché l'azione di correzione automatica di AWS Config per il documento SSM AWS-ConfigureS3BucketLogging non è riuscita con l'errore "(MalformedXML)" quando si chiama l'API PutBucketLogging?

"Il passaggio fallisce quando si tratta di un'azione Eseguita/Annullamento. Si è verificato un errore (AccessDenied) durante la chiamata all'operazione PutBucketLogging: Accesso negato. Per ulteriori dettagli sulla diagnosi, fai riferimento alla Guida alla risoluzione dei problemi del servizio di automazione".

Questo errore si verifica perché il ruolo AutomationAssumeRole non dispone delle autorizzazioni per chiamare l'API PutBucketLogging sui bucket S3 non conformi. Puoi utilizzare la seguente policy di esempio per consentire al ruolo di chiamare l'API PutBucketLogging:

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "s3:PutBucketLogging",
            "Resource": [
                            "arn:aws:s3:::<BUCKET_NAME_1>",
                            "arn:aws:s3:::<BUCKET_NAME_2>",
                            "arn:aws:s3:::<BUCKET_NAME_3>"
                         ]
             }
           ]
}

**Nota:**Se richiedi che la correzione avvenga su tutti i bucket di una regione AWS, limita l'autorizzazione del ruolo a una regione specifica utilizzando la chiave di condizione aws:RequestedRegion.

"Parametri di esecuzione non validi inviati a Systems Automation. Il ruolo di assunzione definito non può essere assunto".

Questo errore si verifica perché il ruolo IAM AutomationAssumeRole non può essere assunto dal servizio Systems Manager Automation. Utilizza la seguente policy di esempio per consentire a Systems Manager di assumere il ruolo IAM:

{
  "Version": "2012-10-17",
  "Statement": [
  {
      "Effect": "Allow",
      "Principal": {
      "Service": "ssm.amazonaws.com"
  },
   "Action": "sts:AssumeRole"
  }
 ]
}

Informazioni correlate

Correzione delle risorse AWS non conformi tramite le regole di AWS Config

Conformità dei bucket Amazon S3 tramite la funzionalità AWS Config Auto Remediation