Como soluciono o erro “Falha na execução da ação” com a remediação automática da regra do AWS Config s3-bucket-logging-enabled?

3 minuto de leitura
0

Quero usar o runbook AWS-Configures3BucketLogging para corrigir recursos não compatíveis. No entanto, a correção automática falha com o erro “Falha na execução da ação”.

Breve descrição

A regra do AWS Config s3-bucket-logging-enabled verifica se o registro está ativado para um bucket de destino do Amazon Simple Storage Service (Amazon S3). O runbook de automação AWS-Configures3BucketLogging do AWS Systems Manager então corrige os recursos não compatíveis.

O runbook AWS-Configures3BucketLogging deve ter as seguintes permissões:

  • Uma política de confiança configurada no AWS Identity and Access Management (IAM) para um perfil de serviço de automação. Essas informações são passadas como o parâmetro AutomationAssumeRole.
  • Coloque as permissões do PutBucketLogging com um bucket do S3 configurado para armazenar logs.

Solução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Para resolver o erro de falha na execução da ação, você deve executar o comando describe-remediation-execution-status da AWS CLI para revisar a mensagem de erro detalhada.

Para mais informações, consulte Como posso solucionar falhas nas execuções de remediação no AWS Config?

Acesso negado

Se você receber a seguinte mensagem de erro:

“A etapa falha quando é a ação de execução/cancelamento. Ocorreu um erro (AccessDenied) ao chamar a operação PutBucketLogging: Access Denied. Consulte o Guia de solução de problemas do Automation Service para mais detalhes sobre o diagnóstico.”

Esse erro ocorre porque o perfil AutomationAssumeRole não tem permissões para chamar a API PutBucketLogging nos buckets do S3 não compatíveis. Você pode usar o exemplo de política a seguir para permitir que a função chame a API PutBucketLogging:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:PutBucketLogging",
      "Resource": [
        "arn:aws:s3:::<BUCKET_NAME_1>",
        "arn:aws:s3:::<BUCKET_NAME_2>",
        "arn:aws:s3:::<BUCKET_NAME_3>"
      ]
    }auto
  ]
}

**Observação:**Se você precisar corrigir todos os buckets do S3 em uma região da AWS, use a chave de condição aws:requestedRegion para limitar a permissão da função.

Parâmetros de execução inválidos

Se você receber a seguinte mensagem de erro:

"Invalid execution parameters sent to Systems Automation. The defined assume role is unable to be assumed."

Esse erro ocorre porque o Systems Manager Automation não pode assumir o perfil AutomationAssumeRole. Use o exemplo de política a seguir para permitir que o Systems Manager assuma a perfil do IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
         "Service": "ssm.amazonaws.com"
       },
       "Action": "sts:AssumeRole"
     }
  ]
}

Informações relacionadas

Correção de recursos não compatíveis com as regras do AWS Config

Conformidade com buckets do Amazon S3 usando o recurso de remediação automática do AWS Config

AWS OFICIAL
AWS OFICIALAtualizada há 10 meses