Quero usar o runbook AWS-Configures3BucketLogging para corrigir recursos não compatíveis. No entanto, a correção automática falha com o erro “Falha na execução da ação”.
Breve descrição
A regra do AWS Config s3-bucket-logging-enabled verifica se o registro está ativado para um bucket de destino do Amazon Simple Storage Service (Amazon S3). O runbook de automação AWS-Configures3BucketLogging do AWS Systems Manager então corrige os recursos não compatíveis.
O runbook AWS-Configures3BucketLogging deve ter as seguintes permissões:
- Uma política de confiança configurada no AWS Identity and Access Management (IAM) para um perfil de serviço de automação. Essas informações são passadas como o parâmetro AutomationAssumeRole.
- Coloque as permissões do PutBucketLogging com um bucket do S3 configurado para armazenar logs.
Solução
Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.
Para resolver o erro de falha na execução da ação, você deve executar o comando describe-remediation-execution-status da AWS CLI para revisar a mensagem de erro detalhada.
Para mais informações, consulte Como posso solucionar falhas nas execuções de remediação no AWS Config?
Acesso negado
Se você receber a seguinte mensagem de erro:
“A etapa falha quando é a ação de execução/cancelamento. Ocorreu um erro (AccessDenied) ao chamar a operação PutBucketLogging: Access Denied. Consulte o Guia de solução de problemas do Automation Service para mais detalhes sobre o diagnóstico.”
Esse erro ocorre porque o perfil AutomationAssumeRole não tem permissões para chamar a API PutBucketLogging nos buckets do S3 não compatíveis. Você pode usar o exemplo de política a seguir para permitir que a função chame a API PutBucketLogging:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutBucketLogging",
"Resource": [
"arn:aws:s3:::<BUCKET_NAME_1>",
"arn:aws:s3:::<BUCKET_NAME_2>",
"arn:aws:s3:::<BUCKET_NAME_3>"
]
}auto
]
}
**Observação:**Se você precisar corrigir todos os buckets do S3 em uma região da AWS, use a chave de condição aws:requestedRegion para limitar a permissão da função.
Parâmetros de execução inválidos
Se você receber a seguinte mensagem de erro:
"Invalid execution parameters sent to Systems Automation. The defined assume role is unable to be assumed."
Esse erro ocorre porque o Systems Manager Automation não pode assumir o perfil AutomationAssumeRole. Use o exemplo de política a seguir para permitir que o Systems Manager assuma a perfil do IAM:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Informações relacionadas
Correção de recursos não compatíveis com as regras do AWS Config
Conformidade com buckets do Amazon S3 usando o recurso de remediação automática do AWS Config