Come posso risolvere le azioni correttive non riuscite in AWS Config?

3 minuti di lettura
0

Ho seguito le istruzioni per correggere le risorse AWS non conformi delle regole AWS Config. Tuttavia, l'azione di riparazione non è riuscita con l'errore "Action execution failed (details)". Ho esaminato i dettagli dell'errore, ma non ci sono informazioni sufficienti per risolvere il problema.

Risoluzione

Segui queste istruzioni per risolvere l'errore delle azioni di correzione utilizzando l'interfaccia della linea di comando AWS (AWS CLI) o la cronologia degli eventi di AWS CloudTrail.

Nota: se visualizzi dei messaggi di errore quando esegui i comandi dell'interfaccia della linea di comando AWS, consulta la sezione Risolvere gli errori AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

AWS CLI

Per trovare le informazioni sull'errore relative all'azione di correzione non riuscita, completa i seguenti passaggi nell'interfaccia a riga di comando di AWS:

  1. Per ottenere un messaggio di errore, informazioni sullo stato e timestamp più dettagliati per le fasi delle azioni di correzione, esegui il comando AWS CLI describe-remediation-execution-status.
    Considera l'esempio seguente:

    aws configservice describe-remediation-execution-status \
      --config-rule-name example-rule \
      --region example-region \
      --resource-keys resourceType=example-resource-type,resourceId=example-resource-ID

    Nota: per il comando, sostituisci example-rule, example-region, example-resource-type e example-resource-ID con il nome, la Regione AWS, il tipo di risorsa e l'ID della risorsa di AWS Config.

  2. Rivedi l'output dei comandi.
    Considera l'esempio seguente:

    {
      "RemediationExecutionStatuses": [
        {
          "InvocationTime": 1560680582.419,
          "LastUpdatedTime": 1560680583.67,
          "ResourceKey": {
            "resourceId": "vol-0b399a24561582586",
            "resourceType": "AWS::EC2::Volume"
          },
          "State": "FAILED",
          "StepDetails": [
            {
              "ErrorMessage": "Automation Step Execution fails when it is creating a CloudFormation stack.
    Get Exception from CreateStack API of cloudformation Service. Exception Message from CreateStack API:
    [User: arn:aws:sts::xxxxx:assumed-role/config-remediation-sshpublic-role-zkga0ot3/config-remediation-sshpublic is not authorized to perform: cloudformation:CreateStack on resource: arn:aws:cloudformation:eu-west-2:xxxxx:stack/DetachEBSVolumeStack2f6d3590-ea2c-424a-97ea-045749f07164/*
    (Service: AmazonCloudFormation; Status Code: 403; Error Code: AccessDenied; Request ID: b8f41dd6-9020-11e9-897d-f9719db1a9e6)].
    Please refer to Automation Service Troubleshooting Guide for more diagnosis details.",
              "Name": "createDocumentStack",
              "StartTime": 1560680582.675,
              "State": "FAILED",
              "StopTime": 1560680582.884
            },  
            {
              "Name": "detachVolume",
              "State": "PENDING"
            },
            {  
              "Name": "deleteCloudFormationTemplate",
              "State": "PENDING"
            }
          ]
        }
      ]
    }
  3. Nell'elenco StepDetails, rivedi le informazioni sul messaggio di errore.
    Nota: i timestamp nell'errore sono nel formato epoch time. Per convertire il timestamp in UTC, usa un convertitore online gratuito, come EpochConverter.

Cronologia eventi CloudTrail

Per trovare le informazioni sull'errore relative all'azione di correzione non riuscita, completa i seguenti passaggi nelle console CloudTrail e AWS Systems Manager:

  1. Apri la console CloudTrail.
  2. Segui le istruzioni per visualizzare gli eventi recenti di gestione di CloudTrail con la console CloudTrail.
  3. L'azione API StartAutomationExecution viene richiamata quando AWS Config avvia un'azione di correzione. Nella pagina della cronologia degli eventi filtra per attributo di ricerca Nome evento , cerca per StartAutomationExecution.
  4. Scegli l'evento API correlato.
  5. Nella pagina dei dettagli dell'evento, nel JSON dell'evento, copia il valore RequestID.
  6. Apri la console Systems Manager.
  7. Nel riquadro di navigazione, scegli Automazione.
  8. Nella pagina delle esecuzioni di automazione, filtra in base alla proprietà ID esecuzione, quindi cerca il valore RequestID copiato nel passaggio 4.
  9. Rivedi le informazioni nella pagina dei dettagli dell'esecuzione. Verifica se i dettagli dell'errore riguardano le autorizzazioni di AWS Identity e Access Management (IAM), i problemi di sintassi o i parametri errati configurati nell'azione di correzione. Usa questi dettagli per correggere le tue risorse non conformi.

Informazioni correlate

Come posso risolvere i messaggi di errore della console AWS Config?

View, update or add, and delete rules (AWS CLI)

AWS UFFICIALE
AWS UFFICIALEAggiornata 7 mesi fa