Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo

In che modo è possibile risolvere l'errore "Esecuzione operazione non riuscita" con la correzione automatica per la regola AWS Config s3-bucket-logging-enabled?

3 minuti di lettura
0

Desidero utilizzare il runbook AWS-ConfigureS3BucketLogging per correggere le risorse non conformi. Tuttavia, la riparazione automatica va a buon fine con l'errore "Esecuzione operazione non riuscita".

Breve descrizione

La regola di AWS Config s3-bucket-logging-enabled verifica se la registrazione è attiva per un bucket Amazon Simple Storage Service (Amazon S3) di destinazione. Il runbook di automazione AWS-ConfigureS3BucketLogging AWS Systems Manager risolve quindi le risorse non conformi.

Il runbook AWS-ConfigureS3BucketLogging deve disporre delle seguenti autorizzazioni:

  • Una policy di fiducia configurata in AWS Identity and Access Management (IAM) per un ruolo di servizio di automazione. Queste informazioni vengono passate come parametro AutomationAssumeRole.
  • Autorizzazioni PutBucketLogging con un bucket S3 configurato per archiviare i log.

Risoluzione

Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta la sezione Troubleshoot AWS CLI errors. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Per risolvere l'errore Esecuzione operazione non riuscita, è necessario eseguire il comando describe-remediation-execution-status AWS CLI per esaminare il messaggio di errore dettagliato.

Per ulteriori informazioni, consulta Come posso risolvere le azioni correttive non riuscite in AWS Config?

Accesso negato

Viene visualizzato il seguente errore:

"Il passaggio fallisce quando si tratta di un'azione Eseguita/Annullamento. Si è verificato un errore (AccessDenied) durante la chiamata all'operazione PutBucketLogging: Accesso negato. Per ulteriori dettagli sulla diagnosi, fai riferimento alla Guida alla risoluzione dei problemi del servizio di automazione".

Questo errore si verifica perché il ruolo AutomationAssumeRole non dispone delle autorizzazioni per chiamare l'API PutBucketLogging sui bucket S3 non conformi. Puoi utilizzare la seguente policy di esempio per consentire al ruolo di chiamare l'API PutBucketLogging:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:PutBucketLogging",
      "Resource": [
        "arn:aws:s3:::<BUCKET_NAME_1>",
        "arn:aws:s3:::<BUCKET_NAME_2>",
        "arn:aws:s3:::<BUCKET_NAME_3>"
      ]
    }auto
  ]
}

Nota: se devi correggere tutti i bucket S3 in una regione AWS, utilizza la chiave di condizione aws:RequestedRegion per limitare l'autorizzazione del ruolo.

Parametri di esecuzione non validi

Viene visualizzato il seguente errore:

"Parametri di esecuzione non validi inviati a Systems Automation. Il ruolo di assunzione definito non può essere assunto".

Questo errore si verifica perché Systems Manager Automation non può assumere il ruolo AutomationAssumeRole. Utilizza la seguente policy di esempio per consentire a Systems Manager di assumere il ruolo IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
         "Service": "ssm.amazonaws.com"
       },
       "Action": "sts:AssumeRole"
     }
  ]
}

Informazioni correlate

Correzione delle risorse non conformi con le regole di AWS Config

Conformità dei bucket Amazon S3 tramite la funzionalità di auto correzione AWS Config

AWS UFFICIALE
AWS UFFICIALEAggiornata 8 mesi fa