Comment résoudre l'erreur de « non stabilisation » qui s'affiche lorsque je crée ou mets à jour la ressource dans CloudFormation ?

Lecture de 4 minute(s)
0

Je souhaite résoudre l'erreur AWS CloudFormation : « Resource of type 'AWS::MSK::Cluster' with identifier did not stabilize. »

Brève description

Cette erreur indique que la ressource de provisionnement ne peut pas atteindre l'état spécifié dans la propriété du modèle dans le délai imparti. Le délai d'expiration peut être dû à des autorisations manquantes, à des exceptions de limite de ressources, à une spécification de propriété de ressource non valide ou à des interruptions de service MSK sous-jacentes.

Parfois, les événements CloudFormation ne fournissent pas la raison exacte pour laquelle vous devez résoudre l'erreur. Pour trouver la raison exacte de l'erreur, utilisez la console Amazon Managed Streaming for Apache Kafka (Amazon MSK).

Remarque : Pour éviter une restauration de la pile, sélectionnez Conserver les ressources correctement allouées pour Options d'échec de la pile dans la console CloudFormation.

Résolution

Vous trouverez ci-dessous quelques-unes des erreurs courantes susceptibles de s’afficher et les solutions correspondantes.

Erreur lors de la diffusion des journaux d’agent sur CloudWatch Logs

Lorsque vous créez un cluster qui envoie des journaux d’agent à Amazon CloudWatch Logs, l'une des réponses d'erreur suivantes peut s'afficher. Vous pouvez consulter ces réponses d'erreur dans les journaux AWS CloudTrail pour CloudWatch Logs. Si le cluster qui a échoué existe toujours, vous pouvez également consulter les réponses d’erreur dans la console Amazon MSK.

Erreur : « InvalidInput.LengthOfCloudWatchResourcePolicyLimitExceeded »

L'erreur précédente se produit lorsque la longueur de la stratégie de ressources CloudWatch associée aux journaux d’agent Amazon MSK dépasse le quota de 5 120 caractères autorisé par CloudWatch. La journalisation CloudWatch est peut-être activée sur votre cluster et un groupe de journaux peut être associé à votre cluster.

Amazon MSK essaie d'ajouter l'ARN du groupe de journaux à la liste des ressources autorisées à diffuser des journaux. Le service ajoute l'ARN du groupe de journaux à la stratégie de ressources AWSLogDeliveryWrite20150319. Pour plus d'informations, consultez la section Activation de la journalisation à partir des services AWS. Lorsque la stratégie de ressources dépasse la limite de caractères, CloudWatch Logs active automatiquement /aws/vendedlogs/* dans la stratégie de ressources de ce service.

Pour consulter la stratégie de ressources de CloudWatch, exécutez la commande describe-resource-policies de l'interface de ligne de commande AWS (AWS CLI).

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes AWS CLI, consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Pour résoudre cette erreur, ajoutez /aws/vendedlogs/ au préfixe du groupe de journaux. Puis, recréez la ressource. Pour plus d'informations, consultez la section Stratégie de ressources du groupe de journaux dans Journalisation qui requiert des autorisations supplémentaires [V1].

Erreur : « InvalidInput.NumberOfCloudWatchResourcePoliciesLimitExceeded »

L'erreur précédente se produit lorsque vous avez atteint le nombre maximal de stratégies de ressources CloudWatch par région AWS. Le nombre maximal est de 10 et vous ne pouvez pas modifier ce quota. Pour résoudre cette erreur, choisissez une politique CloudWatch Logs existante dans votre compte et attachez-y le script JSON suivant :

{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": ["logs:CreateLogStream", "logs:PutLogEvents"],
"Resource": ["*"]
}

Si le message d'erreur persiste, attachez le script à une autre de vos stratégies CloudWatch Logs. Puis, recréez le cluster pour configurer la livraison des journaux d’agent à CloudWatch Logs.

Erreur : « InvalidInput.InsufficientPermissions »

L'erreur précédente se produit lorsque l'utilisateur ou le rôle ne dispose pas des autorisations requises pour créer le cluster MSK. Recherchez un message d'erreur dans les journaux CloudTrail indiquant « Accès refusé » pour les opérations API MSK. Vous pouvez également rechercher les erreurs liées aux API CloudWatch Logs, telles que CreateLogGroup.

Pour résoudre cette erreur, assurez-vous que l'utilisateur ou le rôle dispose des autorisations nécessaires. Pour plus d'informations sur la configuration des autorisations requises pour la politique gérée par AWS, consultez la section Stratégie gérée par AWS : AWSMSKFull Access.

Erreur due à une spécification de propriété non valide

L'« erreur de non stabilisation » s'affiche lorsque vous attribuez des valeurs non valides ou inexistantes aux propriétés de la ressource AWS::MSK::Cluster lors de la création du cluster. Assurez-vous que toutes les valeurs que vous attribuez aux propriétés du cluster sont au format autorisé.

Informations connexes

Erreur lors de la diffusion des journaux d’agent sur Amazon CloudWatch Logs

Journaux envoyés à CloudWatch Logs

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 10 mois