Ich möchte das Runbook AWS-ConfigureS3BucketLogging verwenden, um nicht konforme Ressourcen zu beheben. Die automatische Behebung schlägt jedoch mit dem Fehler „Die Ausführung der Aktion ist fehlgeschlagen“ fehl.
Kurzbeschreibung
Die AWS Config-Regel s3-bucket-logging-enabled prüft, ob die Protokollierung für einen Amazon Simple Storage Service (Amazon S3)-Ziel-Bucket aktiviert ist. Das Runbook AWS-ConfigureS3BucketLogging in AWS Systems Manager Automation behebt dann die nicht konformen Ressourcen.
Das Runbook AWS-ConfigureS3BucketLogging muss über die folgenden Berechtigungen verfügen:
- Eine Vertrauensrichtlinie, die in AWS Identity and Access Management (IAM) für eine Automatisierungs-Servicerolle konfiguriert ist. Diese Information wird als der Parameter AutomationAssumeRole übergeben.
- Die Berechtigungen PutBucketLogging mit einem S3-Bucket, der zum Speichern von Protokollen konfiguriert ist.
Behebung
**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, finden Sie weitere Informationen unter Troubleshoot AWS CLI errors. Stellen Sie außerdem sicher, dass Sie die neueste Version der AWS CLI verwenden.
Um den Fehler Action execution failed zu beheben, müssen Sie den AWS-CLI-Befehl describe-remediation-execution-status ausführen, um die ausführliche Fehlermeldung zu überprüfen.
Weitere Informationen finden Sie unter Wie kann ich fehlgeschlagene Korrekturausführungen in AWS Config beheben?
Zugriff verweigert
Sie erhalten die folgende Fehlermeldung:
„Der Schritt schlägt fehl, wenn es sich um die Aktion Ausführen/Abbrechen handelt. Beim Aufrufen des Vorgangs PutBucketLogging ist ein Fehler aufgetreten (AccessDenied): Zugriff verweigert. Weitere Diagnosedetails finden Sie im Leitfaden zur Automation-Service-Fehlerbehebung.“
Dieser Fehler tritt auf, weil die Rolle AutomationAssumeRole nicht berechtigt ist, die PutBucketLogging-API für die nicht konformen S3-Buckets aufzurufen. Verwenden Sie die folgende Beispielrichtlinie, um der Rolle den Aufruf der PutBucketLogging-API zu gestatten:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutBucketLogging",
"Resource": [
"arn:aws:s3:::<BUCKET_NAME_1>",
"arn:aws:s3:::<BUCKET_NAME_2>",
"arn:aws:s3:::<BUCKET_NAME_3>"
]
}auto
]
}
Hinweis: Wenn Sie alle S3-Buckets in einer AWS-Region beheben müssen, verwenden Sie den Bedingungsschlüssel aws:RequestedRegion, um die Berechtigungen der Rolle einzuschränken.
Ungültige Ausführungsparameter
Sie erhalten die folgende Fehlermeldung:
„Ungültige Ausführungsparameter wurden an Systems Automation gesendet. Die definierte Übernahmerolle kann nicht übernommen werden.“
Dieser Fehler tritt auf, weil Systems Manager Automation die Rolle AutomationAssumeRole nicht übernehmen kann. Verwenden Sie die folgende Beispielrichtlinie, damit Systems Manager die IAM-Rolle übernehmen kann:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Ähnliche Informationen
Behebung nicht konformer Ressourcen mit AWS-Config-Regeln
Amazon-S3-Bucket-Konformität mithilfe der Funktion AWS Config Auto Remediation