AWS Config에 대한 AWS 관리형 규칙 "cloudformation-stack-drift-detection-check"를 사용하여 CloudFormation에서 드리프트 탐지 오류를 해결하려면 어떻게 해야 하나요?

2분 분량
0

AWS Config에 대한 AWS 관리형 규칙 cloudformation-stack-drift-detection-check를 사용하여 AWS CloudFormation에서 드리프트 탐지 오류를 해결하고 싶습니다.

간략한 설명

CloudFormation 콘솔에서 스택 드리프트 상태가 IN_SYNC로 표시되더라도 다음 오류가 나타날 수 있습니다.

  • "AWS CloudFormation이 드리프트를 탐지하지 못했습니다. 기본값은 NON_COMPLIANT입니다. 규칙을 다시 평가한 후 다시 시도하세요. 문제가 지속되면 AWS CloudFormation 지원팀에 문의하세요."
  • "특정 스택에 대한 스택 드리프트 탐지 작업이 실패했습니다. 기존 AWS CloudFormation 역할 권한을 확인하고 누락된 권한을 추가하세요."

표시되는 오류에 따라, 다음 옵션 중 하나를 선택합니다.

  • NON-COMPLIANT 오류가 표시되면 AWS Config 규칙 업데이트 섹션의 단계를 완료합니다.
  • 권한 오류가 나타나면 올바른 권한 설정 섹션의 단계를 완료합니다.

참고: AWS 관리형 규칙 cloudformation-stack-drift-detection-checkDetectStackDrift API를 사용하여 드리프트 탐지를 위해 CloudFormation 스택을 확인합니다. 이 규칙에는 주기적 및 구성 변경 트리거 유형이 모두 있습니다. 드리프트 탐지가 실패하면 오류 메시지가 나타납니다.

해결 방법

AWS Config 규칙 업데이트

다음과 같은 이유로 AWS Config 콘솔에서 NON_COMPLIANT 오류 메시지가 나타날 수 있습니다.

  • CloudFormation 스택의 리소스는 드리프트 탐지를 지원하지 않습니다. AWS Config 규칙의 NON_COMPLIANT 리소스에 대한 주석으로 오류가 표시됩니다. 예를 들어, AWS CloudTrail 로그에 "드리프트 탐지가 리소스 유형에 대해 지원되지 않습니다.”라는 오류가 나타납니다.
  • AWS Config 규칙은 DetectStackDrift의 가용성에 따라 달라집니다. 제한 발생 시 AWS Config는 규칙을 NON_COMPLIANT로 기본 설정하므로 제한 또는 “속도 초과됨" 오류가 나타납니다.

드리프트 탐지를 지원하지 않음으로 인해 발생하는 오류를 해결하는 방법:

NON_COMPLIANT 상태의 CloudFormation 스택을 무시합니다. 이 오류는 이 시나리오에서 오탐입니다. 자세한 내용은 리소스 평가를 참조하세요.

-또는-

평가에서 스택을 제외하는 프로비저닝이 포함된 사용자 지정 AWS Config 규칙을 생성합니다. AWS Config 규칙 예제는 AWS Config 규칙 리포지토리RDKlib를 참조하세요.

DetectStackDrift의 가용성으로 인해 발생하는 오류를 해결하는 방법:

1.    AWS Config 규칙을 다시 평가합니다.

참고: 예를 들어, 규칙 필수 파라미터 cloudformationRoleArn에 제공되는 역할의 Amazon 리소스 이름(ARN)에 대해 config.amazonaws.com 트러스트 권한과 ReadOnlyAccess(AWS Managed) 정책 권한을 연결할 수 있습니다. 자세한 내용은 드리프트 탐지 시 고려 사항을 참조하세요.

2.    CloudFormation 스택에서 드리프트 탐지를 수행합니다.

3.    AWS Config 규칙을 통해 평가를 실행합니다.

올바른 사용 권한 설정

필요한 cloudformationRoleArn 파라미터에 대한 AWS Identity and Access Management(IAM) 역할에 DetectStackDrift API, DetectStackResourceDrift API 또는 기타 필수 서비스 권한이 없으면 권한 오류가 표시됩니다.

이 오류를 해결하려면 IAM 역할에 대한 트러스트 정책을 편집하세요. cloudformationRoleArn에 대해 config.amazonaws.comReadOnlyAccess(AWS Managed) 권한을 연결해야 합니다.

관련 정보

CloudFormation 워크숍: 드리프트 탐지 랩


AWS 공식
AWS 공식업데이트됨 3년 전
댓글 없음

관련 콘텐츠