AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約

AWS Config ルール s3-bucket-logging-enabled の自動修正で「アクションの実行に失敗しました」というエラーをトラブルシューティングする方法を教えてください。

所要時間1分
0

AWS-Configures3BucketLogging ランブックを使用して、非準拠リソースを修正したいと考えています。しかし、自動修復は「アクションの実行に失敗しました」というエラーで失敗します。

簡単な説明

AWS Config ルール s3-bucket-logging-enabled は、ターゲットの Amazon Simple Storage Service (Amazon S3) バケットのログ記録が有効になっているかどうかを確認します。その後、AWS-Configures3BucketLogging AWS Systems Manager Automation ランブックが準拠していないリソースを修正します。

AWS-Configures3BucketLogging ランブックには次の権限が必要です。

  • 自動化サービスロール用に AWS Identity and Access Management (IAM) で設定されている信頼ポリシー。この情報は AutomationAssumeRole パラメータとして渡されます。
  • ログを保存するように設定された S3 バケットに対する PutBucketLogging 権限。

解決策

**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用しているようにしてください。

アクション実行失敗エラーを解決するには、describe-remediation-execution-status AWS CLI コマンドを実行して詳細なエラーメッセージを確認する必要があります。

詳細については、「 AWS Config で失敗した修復アクションをトラブルシューティングする方法を教えてください。」を参照してください。

アクセス拒否

次のエラーメッセージが表示されます。

"Step fails when it is Execute/Cancelling action.An error occurred (AccessDenied) when calling the PutBucketLogging operation: Access Denied.Please refer to Automation Service Troubleshooting Guide for more diagnosis details."

このエラーは、AutomationAssumeRole ロールに、非準拠の S3 バケットで PutBucketLogging API を呼び出す権限がないために発生します。以下のサンプルポリシーを使用して、ロールが PutBucketLogging API を呼び出すことを許可します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:PutBucketLogging",
      "Resource": [
        "arn:aws:s3:::<BUCKET_NAME_1>",
        "arn:aws:s3:::<BUCKET_NAME_2>",
        "arn:aws:s3:::<BUCKET_NAME_3>"
      ]
    }auto
  ]
}

**注:**AWS リージョン内のすべての S3 バケットを修正する必要がある場合は、aws:RequestedRegion 条件キーを使用してロールの権限を制限します。

実行パラメータが無効です

次のエラーメッセージが表示されます。

"Invalid execution parameters sent to Systems Automation.The defined assume role is unable to be assumed."

このエラーは、Systems Manager Automation が AutomationAssumeRole の役割を引き受けることができないために発生します。以下のサンプルポリシーを使用して、Systems Manager に IAM ロールを引き継ぐことを許可します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
         "Service": "ssm.amazonaws.com"
       },
       "Action": "sts:AssumeRole"
     }
  ]
}

関連情報

AWS Config ルールによる非準拠リソースの修正

AWS Config 自動修正機能を使用した Amazon S3 バケットコンプライアンス

AWS公式
AWS公式更新しました 8ヶ月前
コメントはありません