AWS-Configures3BucketLogging ランブックを使用して、非準拠リソースを修正したいと考えています。しかし、自動修復は「アクションの実行に失敗しました」というエラーで失敗します。
簡単な説明
AWS Config ルール s3-bucket-logging-enabled は、ターゲットの Amazon Simple Storage Service (Amazon S3) バケットのログ記録が有効になっているかどうかを確認します。その後、AWS-Configures3BucketLogging AWS Systems Manager Automation ランブックが準拠していないリソースを修正します。
AWS-Configures3BucketLogging ランブックには次の権限が必要です。
解決策
**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用しているようにしてください。
アクション実行失敗エラーを解決するには、describe-remediation-execution-status AWS CLI コマンドを実行して詳細なエラーメッセージを確認する必要があります。
詳細については、「 AWS Config で失敗した修復アクションをトラブルシューティングする方法を教えてください。」を参照してください。
アクセス拒否
次のエラーメッセージが表示されます。
"Step fails when it is Execute/Cancelling action.An error occurred (AccessDenied) when calling the PutBucketLogging operation: Access Denied.Please refer to Automation Service Troubleshooting Guide for more diagnosis details."
このエラーは、AutomationAssumeRole ロールに、非準拠の S3 バケットで PutBucketLogging API を呼び出す権限がないために発生します。以下のサンプルポリシーを使用して、ロールが PutBucketLogging API を呼び出すことを許可します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutBucketLogging",
"Resource": [
"arn:aws:s3:::<BUCKET_NAME_1>",
"arn:aws:s3:::<BUCKET_NAME_2>",
"arn:aws:s3:::<BUCKET_NAME_3>"
]
}auto
]
}
**注:**AWS リージョン内のすべての S3 バケットを修正する必要がある場合は、aws:RequestedRegion 条件キーを使用してロールの権限を制限します。
実行パラメータが無効です
次のエラーメッセージが表示されます。
"Invalid execution parameters sent to Systems Automation.The defined assume role is unable to be assumed."
このエラーは、Systems Manager Automation が AutomationAssumeRole の役割を引き受けることができないために発生します。以下のサンプルポリシーを使用して、Systems Manager に IAM ロールを引き継ぐことを許可します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
関連情報
AWS Config ルールによる非準拠リソースの修正
AWS Config 自動修正機能を使用した Amazon S3 バケットコンプライアンス