Como resolvo erros de permissão com a correção automática da regra do AWS Config s3-bucket-logging-enabled?

Breve descrição

A regra do AWS Config s3-bucket-logging-enabled usa o documento AWS Systems Manager Automation AWS-ConfigureS3BucketLogging para remediar recursos não compatíveis. O serviço Systems Manager deve ser permitido na política de confiança da função Automation usando o AWS Identity and Access Management (IAM), que é passado como o parâmetro AutomationAssumeRole. Além disso, a função de automação deve ter permissões PutBucketLogging, e o bucket de destino do Amazon S3 deve estar configurado para armazenar logs.

Resolução

Para receber uma mensagem de erro mais detalhada, execute o comando da AWS Command Line Interface (AWS CLI) describe-remediation-execution-status. Em seguida, siga as instruções abaixo para solucionar a mensagem de erro. Para mais informações, consulte How can I troubleshoot failed remediation executions in AWS Config? (Como posso solucionar falhas nas execuções de remediação no AWS Config?)

Importante: antes de começar, lembre-se de instalar e configurar a AWS CLI. Se você receber erros ao executar comandos da AWS CLI, verifique se está usando a versão mais recente da AWS CLI.

“A etapa falha quando é a ação de execução/cancelamento. Ocorreu um erro (MalformedXML) ao chamar a operação PutBucketLogging: O XML que você forneceu não estava bem formado ou não foi validado em relação ao nosso esquema publicado. Consulte o Guia de solução de problemas do Automation Service para obter mais detalhes sobre o diagnóstico”.

Para resolver essa mensagem de erro, consulte Why did the AWS Config auto remediation action for the SSM document AWS-ConfigureS3BucketLogging fail with the error "(MalformedXML)" when calling the PutBucketLogging API? (Por que a ação de remediação automática do AWS Config para o documento SSM AWS-configures3BucketLogging falhou com o erro “(MalformedXML)” ao chamar a API PutBucketLogging?)

“A etapa falha quando é a ação de execução/cancelamento. Ocorreu um erro (AccessDenied) ao chamar a operação PutBucketLogging: Access Denied. Consulte o Guia de solução de problemas do Automation Service para mais detalhes sobre o diagnóstico.”

Esse erro ocorre porque a função AutomationAssumeRole não tem permissões para chamar a API PutBucketLogging nos buckets do S3 não compatíveis. Você pode usar o exemplo de política a seguir para permitir que a função chame a API PutBucketLogging:

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "s3:PutBucketLogging",
            "Resource": [
                            "arn:aws:s3:::<BUCKET_NAME_1>",
                            "arn:aws:s3:::<BUCKET_NAME_2>",
                            "arn:aws:s3:::<BUCKET_NAME_3>"
                         ]
             }
           ]
}

Observação: se você precisar que a remediação ocorra em todos os buckets em uma região da AWS, limite a permissão da função a uma região específica usando a chave de condição aws:RequestedRegion.

“Parâmetros de execução inválidos enviados para a automação de sistemas. A função de suposição definida não pode ser assumida.”

Esse erro ocorre porque o perfil AutomationAssumeRole do IAM não pode ser assumida pelo serviço Systems Manager Automation. Use o exemplo de política a seguir para permitir que o Systems Manager assuma a perfil do IAM:

{
  "Version": "2012-10-17",
  "Statement": [
  {
      "Effect": "Allow",
      "Principal": {
      "Service": "ssm.amazonaws.com"
  },
   "Action": "sts:AssumeRole"
  }
 ]
}

Informações relacionadas

Remediar recursos não compatíveis da AWS por meio das regras do AWS Config

Conformidade com buckets do Amazon S3 usando o recurso de remediação automática do AWS Config