Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso

¿Cómo puedo solucionar problemas con las acciones de corrección fallidas en AWS Config?

4 minutos de lectura
0

He seguido las instrucciones para subsanar los recursos no conformes de AWS con las reglas de AWS Config. Sin embargo, la acción de corrección ha fallado y se ha producido el error «Error en la ejecución de la acción (detalles)». He revisado los detalles del error, pero no hay suficiente información para solucionarlo.

Resolución

Siga estas instrucciones para solucionar el error de las acciones de corrección mediante Interfaz de línea de comandos de AWS (AWS CLI) o el historial de eventos de AWS CloudTrail.

Nota: Si se muestran errores al ejecutar comandos de la AWS CLI, consulte Errores de solución de problemas de la AWS CLI. Además, asegúrese de utilizar la versión más reciente de la AWS CLI.

AWS CLI

Para encontrar la información del error relacionada con la acción de corrección que ha fallado, complete los siguientes pasos en la AWS CLI:

  1. Para obtener un mensaje de error más detallado, información de estado y marcas de tiempo para las acciones de corrección, ejecute el comando describe-remediation-execution-status de la AWS CLI.
    Observe el siguiente ejemplo:

    aws configservice describe-remediation-execution-status \
      --config-rule-name example-rule \
      --region example-region \
      --resource-keys resourceType=example-resource-type,resourceId=example-resource-ID

    Nota: En el comando, sustituya example-rule, example-region, example-resource-type y example-resource-ID por el nombre de la regla, la región de AWS, el tipo de recurso y el ID de recurso de AWS Config.

  2. Revise el resultado de los comandos.
    Observe el siguiente ejemplo:

    {
      "RemediationExecutionStatuses": [
        {
          "InvocationTime": 1560680582.419,
          "LastUpdatedTime": 1560680583.67,
          "ResourceKey": {
            "resourceId": "vol-0b399a24561582586",
            "resourceType": "AWS::EC2::Volume"
          },
          "State": "FAILED",
          "StepDetails": [
            {
              "ErrorMessage": "Automation Step Execution fails when it is creating a CloudFormation stack.
    Get Exception from CreateStack API of cloudformation Service. Exception Message from CreateStack API:
    [User: arn:aws:sts::xxxxx:assumed-role/config-remediation-sshpublic-role-zkga0ot3/config-remediation-sshpublic is not authorized to perform: cloudformation:CreateStack on resource: arn:aws:cloudformation:eu-west-2:xxxxx:stack/DetachEBSVolumeStack2f6d3590-ea2c-424a-97ea-045749f07164/*
    (Service: AmazonCloudFormation; Status Code: 403; Error Code: AccessDenied; Request ID: b8f41dd6-9020-11e9-897d-f9719db1a9e6)].
    Please refer to Automation Service Troubleshooting Guide for more diagnosis details.",
              "Name": "createDocumentStack",
              "StartTime": 1560680582.675,
              "State": "FAILED",
              "StopTime": 1560680582.884
            },  
            {
              "Name": "detachVolume",
              "State": "PENDING"
            },
            {  
              "Name": "deleteCloudFormationTemplate",
              "State": "PENDING"
            }
          ]
        }
      ]
    }
  3. En la lista StepDetails, revise la información del mensaje de error.
    Nota: Las marcas de tiempo del error están en formato Epoch. Para convertir la marca de tiempo a UTC, utilice un conversor en línea gratuito, como EpochConverter.

Historial de eventos de CloudTrail

Para encontrar la información del error relacionada con la acción de corrección que ha fallado, lleve a cabo los siguientes pasos en las consolas de CloudTrail y AWS Systems Manager:

  1. Abra la consola de CloudTrail.
  2. Siga las instrucciones indicadas en Viewing recent CloudTrail management events with the CloudTrail console.
  3. La acción de la API StartAutomationExecution se invoca cuando AWS Config inicia una acción de corrección. En la página Historial de eventos, filtre por el atributo de búsqueda Nombre del evento, y luego busque StartAutomationExecution.
  4. Elija el evento de API correspondiente.
  5. En la página de detalles del evento, en el JSON del evento, copie el valor requestID.
  6. Abra la consola de Systems Manager.
  7. En el panel de navegación, elija Automatización.
  8. En la página Ejecuciones de automatización, filtre por la propiedad ID de ejecución y, a continuación, busque el valor requestID copiado en el paso 4.
  9. Revise la información de la página de detalles de la ejecución. Determine si los detalles del error están relacionados con los permisos de AWS Identity and Access Management (IAM), problemas de sintaxis o parámetros incorrectos configurados en la acción de corrección. Utilice estos detalles para corregir los recursos no conformes.

Información relacionada

¿Cómo puedo solucionar los mensajes de error de la consola de AWS Config?

View, update or add, and delete rules (AWS CLI)

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 8 meses