¿Cómo puedo solucionar el error «Error en la ejecución de la acción» con la corrección automática de la regla s3-bucket-logging-enabled de AWS Config?

3 minutos de lectura
0

Quiero usar el runbook AWS-Configures3BucketLogging para corregir los recursos que no cumplen con los requisitos. Sin embargo, la corrección automática falla y se muestra el error «Error en la ejecución de la acción».

Breve descripción

La regla s3-bucket-logging-enabled de AWS Config comprueba si el registro está activado en un bucket de Amazon Simple Storage Service (Amazon S3) de destino. A continuación, el runbook de automatización AWS-ConfigureS3BucketLogging de AWS Systems Manager corrige los recursos que no cumplen con los requisitos.

El runbook AWS-ConfigureS3BucketLogging debe tener los siguientes permisos:

  • Una política de confianza configurada en AWS Identity and Access Management (IAM) para un rol de servicio de automatización. Esta información se transfiere como parámetro AutomationAssumeRole.
  • Los permisos PutBucketLogging en un bucket de S3 que esté configurado para almacenar registros.

Resolución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulte Troubleshoot AWS CLI errors. Además, asegúrese de utilizar la versión más reciente de la AWS CLI.

Para resolver el error Error en la ejecución de la acción debe ejecutar el comando describe-remediation-execution-status en la AWS CLI para revisar los detalles del mensaje de error.

Para obtener más información, consulte ¿Cómo puedo solucionar problemas con las acciones de corrección fallidas en AWS Config?

Acceso denegado

Si recibe el siguiente mensaje de error:

«El paso falla cuando se trata de ejecutar o cancelar una acción. Se ha producido un error (AccessDenied) al llamar a la operación PutBucketLogging: Acceso denegado. Consulte la Guía de solución de problemas del servicio de automatización para obtener más detalles sobre el diagnóstico».

Este error se produce porque el rol AutomationAssumeRole no tiene permisos para llamar a la API PutBucketLogging en los buckets de S3 que no cumplen con los requisitos. Utilice el siguiente ejemplo de política para permitir que el rol llame a la API PutBucketLogging:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:PutBucketLogging",
      "Resource": [
        "arn:aws:s3:::<BUCKET_NAME_1>",
        "arn:aws:s3:::<BUCKET_NAME_2>",
        "arn:aws:s3:::<BUCKET_NAME_3>"
      ]
    }auto
  ]
}

Nota: Si necesita que la corrección se realice en todos los buckets de S3 de una región de AWS, limite el permiso del rol mediante la clave de condición aws:RequestedRegion.

Parámetros de ejecución no válidos

Si recibe el siguiente mensaje de error:

«Se enviaron parámetros de ejecución no válidos a Systems Automation. No se puede asumir el rol de asunción definido».

Este error se produce porque el servicio de automatización de Systems Manager no puede asumir el rol AutomationAssumeRole. Utilice el siguiente ejemplo de política para permitir que Systems Manager asuma el rol de IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
         "Service": "ssm.amazonaws.com"
       },
       "Action": "sts:AssumeRole"
     }
  ]
}

Información relacionada

Remediating noncompliant resources with AWS Config rules

Amazon S3 bucket compliance using AWS Config auto remediation feature

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 10 meses