Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen

Wie kann ich fehlgeschlagene Behebungsmaßnahmen in AWS Config beheben?

Lesedauer: 3 Minute
0

Ich habe die Anweisungen zur Behebung nicht konformer AWS-Ressourcen mit den AWS-Config-Regeln befolgt. Die Behebungsaktion schlug jedoch mit dem Fehler „Aktionsausführung fehlgeschlagen (Details)“ fehl. Ich habe die Fehlerdetails überprüft, aber es gibt nicht genügend Informationen, um das Problem zu beheben.

Behebung

Folgen Sie diesen Anweisungen, um den Fehler bei den Behebungsmaßnahmen mithilfe der AWS-Befehlszeilenschnittstelle (AWS CLI) oder des AWS CloudTrail-Ereignisverlaufs zu beheben.

**Hinweis:**Wenn Sie beim Ausführen von Befehlen in AWS CLI Fehlermeldungen erhalten, finden Sie weitere Informationen unter Beheben von AWS CLI-Fehlern. Stellen Sie außerdem sicher, dass Sie die neueste Version von AWS CLI verwenden.

AWS CLI

Führen Sie die folgenden Schritte in der AWS CLI aus, um die Fehlerinformationen im Zusammenhang mit der fehlgeschlagenen Behebungsaktion zu finden:

  1. Um eine detailliertere Fehlermeldung, Statusinformationen und Zeitstempel für die Schritte zur Problembehebung zu erhalten, führen Sie den AWS-CLI-Befehl describe-remediation-execution-status aus.
    Siehe folgendes Beispiel:

    aws configservice describe-remediation-execution-status \
      --config-rule-name example-rule \
      --region example-region \
      --resource-keys resourceType=example-resource-type,resourceId=example-resource-ID

    Hinweis: Für Ihren Befehl, ersetzen Sie example-region, example-lregion, example-resource-type und example-resource-ID durch Ihren AWS Config-Regelnamen, AWS-Region, Ressourcentyp und Ressourcen-ID.

  2. Überprüfen Sie Ihre Befehlsausgabe.
    Siehe folgendes Beispiel:

    {
      "RemediationExecutionStatuses": [
        {
          "InvocationTime": 1560680582.419,
          "LastUpdatedTime": 1560680583.67,
          "ResourceKey": {
            "resourceId": "vol-0b399a24561582586",
            "resourceType": "AWS::EC2::Volume"
          },
          "State": "FAILED",
          "StepDetails": [
            {
              "ErrorMessage": "Automation Step Execution fails when it is creating a CloudFormation stack.
    Get Exception from CreateStack API of cloudformation Service. Exception Message from CreateStack API:
    [User: arn:aws:sts::xxxxx:assumed-role/config-remediation-sshpublic-role-zkga0ot3/config-remediation-sshpublic is not authorized to perform: cloudformation:CreateStack on resource: arn:aws:cloudformation:eu-west-2:xxxxx:stack/DetachEBSVolumeStack2f6d3590-ea2c-424a-97ea-045749f07164/*
    (Service: AmazonCloudFormation; Status Code: 403; Error Code: AccessDenied; Request ID: b8f41dd6-9020-11e9-897d-f9719db1a9e6)].
    Please refer to Automation Service Troubleshooting Guide for more diagnosis details.",
              "Name": "createDocumentStack",
              "StartTime": 1560680582.675,
              "State": "FAILED",
              "StopTime": 1560680582.884
            },  
            {
              "Name": "detachVolume",
              "State": "PENDING"
            },
            {  
              "Name": "deleteCloudFormationTemplate",
              "State": "PENDING"
            }
          ]
        }
      ]
    }
  3. Überprüfen Sie in der Liste StepDetails die Informationen zur Fehlermeldung.
    Hinweis: Die Zeitstempel im Fehler sind im Epochenzeitformat. Verwenden Sie einen kostenlosen Online-Konverter wie EpochConverter, um den Zeitstempel in UTC umzuwandeln.

CloudTrail-Ereignisverlauf

Führen Sie die folgenden Schritte in den CloudTrail- und AWS Systems Manager-Konsolen aus, um die Fehlerinformationen im Zusammenhang mit der fehlgeschlagenen Behebungsaktion zu finden:

  1. Öffnen Sie die CloudTrail-Konsole.
  2. Folgen Sie den Anweisungen zum Anzeigen der letzten CloudTrail-Verwaltungsereignisse mit der CloudTrail-Konsole.
  3. Die API-Aktion StartAutomationExecution wird aufgerufen, wenn AWS Config eine Korrekturmaßnahme einleitet. Filtern Sie auf der Seite Ereignisverlauf nach dem Suchattribut Ereignisname, und suchen Sie dann nach StartAutomationExecution.
  4. Wählen Sie das zugehörige API-Ereignis aus.
  5. Kopieren Sie auf der Seite mit den Eventdetails im Event-JSON den Wert RequestID.
  6. Öffnen Sie die Systems-Manager-Konsole.
  7. Wählen Sie im Navigationsbereich Automatisierung aus.
  8. Filtern Sie auf der Seite Automatisierungsausführungen nach der Eigenschaft Ausführungs-ID und suchen Sie dann nach dem in Schritt 4 kopierten Wert RequestID.
  9. Überprüfen Sie die Informationen auf der Seite mit den Ausführungsdetails. Bestimmen Sie, ob die Fehlerdetails mit AWS Identity and Access Management (IAM)-Berechtigungen, Syntaxproblemen oder falschen Parametern zusammenhängen, die in der Behebungsmaßnahme konfiguriert wurden. Verwenden Sie diese Informationen, um Ihre nicht richtlinienkonformen Ressourcen zu beheben.

Ähnliche Informationen

Wie kann ich Fehlermeldungen der AWS Config-Konsole beheben?

Regeln anzeigen, aktualisieren oder hinzufügen und löschen (AWS CLI)

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 8 Monaten