Wie behebe ich Fehler bei der Drift-Erkennung in CloudFormation mit meiner von AWS verwalteten Regel „cloudformation-stack-drift-detection-check“ für AWS Config?
Ich möchte Fehler bei der Drift-Erkennung in AWS CloudFormation mit meiner von AWS verwalteten Regel cloudformation-stack-drift-detection-check für AWS Config beheben.
Kurzbeschreibung
Sie können die folgenden Fehler erhalten, auch wenn der Drift-Status Ihres Stacks in der CloudFormation-Konsole als IN_SYNC angezeigt wird:
- „AWS CloudFormation konnte den Drift nicht erkennen und hat die standardmäßige Einstellung NON_COMPLIANT übernommen. Bewerten Sie die Regel erneut und versuchen Sie es erneut. Wenn das Problem weiterhin besteht, wenden Sie sich an den AWS CloudFormation-Support.“
- „Ihr Vorgang zur Erkennung von Stack-Drift für den festgelegten Stack ist fehlgeschlagen. Überprüfen Sie Ihre vorhandenen AWS CloudFormation-Rollenberechtigungen und fügen Sie die fehlenden Berechtigungen hinzu.“
Wählen Sie je nach der Fehlermeldung, die Sie erhalten, eine der folgenden Optionen aus:
- Wenn Sie die Fehlermeldung NON-COMPLIANT erhalten, führen Sie die Schritte im Abschnitt Aktualisieren Ihrer AWS-Konfigurationsregeln aus.
- Wenn der Berechtigungsfehler angezeigt wird, führen Sie die Schritte im Abschnitt Festlegen der richtigen Berechtigungen aus.
Hinweis: Die von AWS verwaltete Regel cloudformation-stack-drift-detection-check überprüft CloudFormation-Stacks mithilfe der DetectStackDrift-API auf Drift-Erkennung. Diese Regel hat sowohl einen periodischen als auch einen Triggertyp für Konfigurationsänderungen. Wenn die Drift-Erkennung fehlschlägt, erhalten Sie eine Fehlermeldung.
Lösung
Ihre AWS Config-Regeln aktualisieren
In der AWS Config-Konsole können Sie aus den folgenden Gründen die Fehlermeldung NON_COMPLIANT erhalten:
- Die Ressourcen in Ihrem CloudFormation-Stack unterstützen keine Drift-Erkennung. Sie erhalten einen Fehler als Anmerkung zur Ressource NON_COMPLIANT für Ihre AWS-Config-Regel. Beispielsweise erhalten Sie im AWS CloudTrail-Protokoll den Fehler „Drift-Erkennung wird für ResourceType nicht unterstützt“.
- Ihre AWS Config-Regel hängt von der Verfügbarkeit von DetectStackDrift ab. Sie erhalten eine Drosselung oder den Fehler „Rate überschritten“, weil AWS Config die Regel standardmäßig auf NON_COMPLIANT festlegt, wenn eine Drosselung auftritt.
Gehen Sie wie folgt vor, um den Fehler zu beheben, der dadurch entsteht, dass keine Drift-Erkennung unterstützt wird:
Den CloudFormation-Stack mit dem Status NON_COMPLIANT ignorieren. In diesem Szenario ist der Fehler falsch positiv. Weitere Informationen finden Sie unter Evaluierung Ihrer Ressourcen.
-oder-
Erstellen Sie eine benutzerdefinierte AWS Config-Regel, die eine Bestimmung enthält, um Ihre Stacks von Evaluierungen auszuschließen. Beispiele für AWS Config-Regeln finden Sie unter AWS-Config-Regelrepository und RDKLib.
Um den Fehler zu beheben, der sich aus der Verfügbarkeit von DetectStackDrift ergibt, gehen Sie wie folgt vor:
1.Evaluieren Sie Ihre AWS Config-Regel erneut.
Hinweis: Sie können beispielsweise die vertrauenswürdigen Berechtigungen config.amazonaws.com und die Richtlinienberechtigungen ReadOnlyAccess(AWS Managed) für den Amazon-Ressourcennamen (ARN) der Rolle anhängen, der im für die Regel benötigten Parameter cloudformationRoleArn bereitgestellt wird. Weitere Informationen finden Sie unter Überlegungen bei der Erkennung von Drift.
2.Führen Sie Drift-Erkennung auf Ihren CloudFormation-Stacks durch.
3.Führen Sie die Evaluierung anhand Ihrer AWS Config-Regel durch.
Die richtigen Berechtigungen festlegen
Sie erhalten einen Berechtigungsfehler, wenn die AWS Identity and Access Management (IAM)-Rolle für den erforderlichen cloudformationRoleArn-Parameter nicht über die DetectStackDrift-API, die DetectStackResourceDrift-API oder andere erforderliche Dienstberechtigungen verfügt.
Um diesen Fehler zu beheben, bearbeiten Sie die Vertrauensrichtlinie für Ihre IAM-Rolle. Sie müssen die Berechtigungen config.amazonaws.com und ReadOnlyAccess(AWS Managed) für cloudformationRoleArn anhängen.
Ähnliche Informationen
CloudFormation-Workshop:Labor zur Drift-Erkennung
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 8 Monaten