Perché la mia regola AWS Config non funziona?

4 minuti di lettura
0

La mia regola di AWS Config non funziona. Come posso risolvere questo problema?

Risoluzione

Vari problemi possono causare il mancato funzionamento delle regole gestite di AWS Config, tra cui autorizzazioni, ambito delle risorse o elementi di modifica della configurazione. Per risolvere le regole di AWS Config che non funzionano, prova i seguenti passaggi per la risoluzione dei problemi.

Nota: Se ricevi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente dell'interfaccia della linea di comando AWS.

Risoluzione dei problemi generali delle regole di AWS Config

  1. Verifica che il tuo registratore di configurazione stia registrando tutti i tipi di risorse richiesti dalla tua regola (ad esempio, AWS::EC2::Instance).
  2. Apri la console AWS Config, quindi scegli Regole dal riquadro di navigazione. Se il campo Conformità indica Nessun risultato riportato o Nessuna risorsa nell'ambito, consulta il passaggio 8 di Configurazione e attivazione di una regola gestita da AWS.
  3. Se non viene riportato un tempo di valutazione e indica che le valutazioni non sono riuscite, controlla la chiamata API PutEvaluations nei log di AWS CloudTrail per verificare gli errori segnalati.
  4. Apri la console AWS CloudTrail, quindi scegli Cronologia eventi dal riquadro di navigazione. Per filtrare i log, scegli Sorgente evento dal menu a discesa e inserisci config.amazonaws.com nel campo di ricerca. Controlla i risultati del log filtrato per verificare la presenza di errori di Accesso negato.
  5. Per le regole di attivazione periodica di AWS Config, accedi alla dashboard Cronologia eventi della console CloudTrail per verificare le API di servizio pertinenti sulla risorsa.
  6. Rivedi la configurazione specifica delle risorse e le tempistiche di conformità. Conferma che un elemento di configurazione è stato generato per riflettere la modifica alle regole di AWS Config con un trigger basato sulla modifica della configurazione.
  7. Verifica che i requisiti relativi alle autorizzazioni del ruolo del registratore siano soddisfatti. Queste credenziali vengono utilizzate per descrivere la configurazione delle risorse e la conformità alla pubblicazione utilizzando l'API PutEvaluations.
  8. Esegui il seguente comando dell'interfaccia della linea di comando AWS. Sostituisci ConfigRuleName con il nome della tua regola AWS Config e sostituisci RegionID con la tua Regione AWS. Dall'output, rivedi il valore LastErrorMessage.
aws configservice describe-config-rule-evaluation-status --config-rule-names ConfigRuleName --region RegionID

Risoluzione dei problemi relativi alle regole AWS Config personalizzate

Per le regole personalizzate di AWS Config, oltre ai passaggi generali di risoluzione dei problemi precedenti, verifica quanto segue:

Un messaggio di errore "Impossibile eseguire funzione Lambda" indica che il servizio AWS Config non è autorizzato a richiamare la funzione AWS Lambda. Per risolvere questo errore, esegui il comando seguente per concedere le autorizzazioni richieste. Sostituisci function\ _name con il nome della tua funzione Lambda, RegionID con la tua Regione AWS e AWS-accountID con l'ID del tuo account AWS:

aws lambda add-permission --function-name function_name --region RegionID --statement-id allow_config --action lambda:InvokeFunction --principal config.amazonaws.com --source-account AWS-accountID

Di seguito è riportato un esempio di policy delle risorse della funzione Lambda:

{
    "Version": "2012-10-17",
    "Id": "default",
    "Statement": [
        {
            "Sid": "allow_config",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": "lambda:InvokeFunction",
            "Resource": "lambda-function-arn",
            "Condition": {
                "StringEquals": {
                    "AWS:SourceAccount": "AWS-accountID"
                }
            }
        }
    ]
}

Identifica l'evento PutEvaluations con un valore di Nome utente che corrisponde al nome della funzione Lambda. Per ulteriori informazioni, rivedi errorMessage .

  • Se il ruolo utilizzato dalla funzione Lambda per eseguire il codice non è autorizzato a eseguire config:PutEvaluations, aggiungi le autorizzazioni al ruolo specificato.
  • Se le autorizzazioni sono corrette, controlla il codice della funzione Lambda per eventuali eccezioni sollevate. Per maggiori dettagli, consulta i log nel gruppo di log di Amazon CloudWatch (/aws/lambda/FunctionName) associato alla funzione Lambda. Aggiungi una dichiarazione di stampa nel codice per generare altri log di debug.

Informazioni correlate

Perché non riesco a creare o eliminare le regole di configurazione dell'organizzazione?

AWS UFFICIALE
AWS UFFICIALEAggiornata 3 anni fa