J'ai suivi les instructions pour corriger les ressources AWS non conformes à l'aide des règles AWS Config. Cependant, l'action de correction a échoué avec l'erreur « Échec de l'exécution de l'action (détails) ». J'ai examiné les détails de l'erreur, mais il n'y a pas suffisamment d'informations pour résoudre le problème.
Résolution
Suivez ces instructions pour résoudre les problèmes liés à l'échec des actions de correction à l'aide de l'interface de la ligne de commande AWS (AWS CLI) ou de l'historique des événements AWS CloudTrail.
**Remarque :**Si des erreurs surviennent lorsque vous exécutez des commandes AWS CLI, consultez l’article Résoudre les erreurs AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.
AWS CLI
Pour trouver des informations sur les erreurs liées à l'échec d'une action de correction, suivez ces étapes dans l'AWS CLI :
-
Pour obtenir un message d'erreur plus détaillé, des informations sur l'état, ainsi que l'horodatage des mesures correctives, exécutez la commande describe-remediation-execution-status AWS CLI command.
Exemple :
aws configservice describe-remediation-execution-status \
--config-rule-name example-rule \
--region example-region \
--resource-keys resourceType=example-resource-type,resourceId=example-resource-ID
Remarque : dans votre commande, remplacez example-rule, example-region, example-resource-type et example-resource-ID par le nom de votre règle AWS Config, votre région AWS, votre type de ressource et votre ID de ressource.
-
Examinez la sortie de la commande.
Exemple :
{
"RemediationExecutionStatuses": [
{
"InvocationTime": 1560680582.419,
"LastUpdatedTime": 1560680583.67,
"ResourceKey": {
"resourceId": "vol-0b399a24561582586",
"resourceType": "AWS::EC2::Volume"
},
"State": "FAILED",
"StepDetails": [
{
"ErrorMessage": "Automation Step Execution fails when it is creating a CloudFormation stack.
Get Exception from CreateStack API of cloudformation Service. Exception Message from CreateStack API:
[User: arn:aws:sts::xxxxx:assumed-role/config-remediation-sshpublic-role-zkga0ot3/config-remediation-sshpublic is not authorized to perform: cloudformation:CreateStack on resource: arn:aws:cloudformation:eu-west-2:xxxxx:stack/DetachEBSVolumeStack2f6d3590-ea2c-424a-97ea-045749f07164/*
(Service: AmazonCloudFormation; Status Code: 403; Error Code: AccessDenied; Request ID: b8f41dd6-9020-11e9-897d-f9719db1a9e6)].
Please refer to Automation Service Troubleshooting Guide for more diagnosis details.",
"Name": "createDocumentStack",
"StartTime": 1560680582.675,
"State": "FAILED",
"StopTime": 1560680582.884
},
{
"Name": "detachVolume",
"State": "PENDING"
},
{
"Name": "deleteCloudFormationTemplate",
"State": "PENDING"
}
]
}
]
}
-
Dans la liste StepDetails, consultez les informations du message d'erreur.
Remarque : les horodatages de l'erreur sont au format d'époque. Pour convertir ces horodatages au format UTC, utilisez un convertisseur en ligne gratuit, tel que EpochConverter.
Historique des événements CloudTrail
Pour trouver des informations sur les erreurs liées à l'échec d'une action de correction, suivez ces étapes dans les consoles CloudTrail et AWS Systems Manager :
- Ouvrez la console CloudTrail.
- Suivez les instructions pour afficher les événements de gestion CloudTrail récents à l'aide de la console CloudTrail.
- L'action d'API StartAutomationExecution est invoquée lorsqu'AWS Config lance une action de correction. Sur la page Historique des événements, filtrez les informations à l’aide de l'attribut de recherche Nom de l'événement, puis recherchez StartAutomationExecution.
- Choisissez l'événement d'API correspondant.
- Sur la page des détails des événements, dans le JSON de l'événement, copiez la valeur pour requestID.
- Ouvrez la console Systems Manager.
- Dans le volet de navigation, sélectionnez Automatisation.
- Sur la page Exécutions d'automatisation, filtrez les données à l’aide de la propriété ID d'exécution, puis recherchez la valeur requestID copiée à l'étape 4.
- Examinez les informations figurant sur la page des détails de l'exécution. Déterminez si les détails de l'échec concernent les autorisations Gestion des identités et des accès AWS (AWS IAM), des problèmes de syntaxe ou des paramètres incorrects configurés lors de l'action de correction. Utilisez ensuite ces informations pour corriger vos ressources non conformes.
Informations connexes
Comment résoudre les messages d'erreur dans la console AWS Config ?
Afficher, mettre à jour ou ajouter, et supprimer des règles (AWS CLI)