Problembehandlung für Conformance Packs für AWS Config - AWS Config
Status „Fehlgeschlagen“ für ein Conformance PackHängende Regeln in einem Konformitätspaket

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Problembehandlung für Conformance Packs für AWS Config

Sehen Sie sich die folgenden Probleme an, um Probleme zu beheben, auf die Sie bei der Verwendung von Conformance Packs stoßen könnten.

Status „Fehlgeschlagen“ für ein Conformance Pack

Wenn beim Erstellen, Aktualisieren oder Löschen eine Fehlermeldung zu Ihrem Conformance Pack angezeigt wird, können Sie den Status Ihres Conformance Packs überprüfen.

aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1

Die Ausgabe sollte in etwa wie folgt aussehen:

"ConformancePackStatusDetails": [
    {
        "ConformancePackName": "ConformancePackName",
        "ConformancePackId": "ConformancePackId",
        "ConformancePackArn": "ConformancePackArn",
        "ConformancePackState": "CREATE_FAILED",
        "StackArn": "CloudFormation stackArn",
        "ConformancePackStatusReason": "Failure Reason",
        "LastUpdateRequestedTime": 1573865201.619,
        "LastUpdateCompletedTime": 1573864244.653
    }
]

Suchen Sie ConformancePackStatusReasonnach Informationen über den Fehler.

Wenn der stackArn in der Antwort vorhanden ist

Wenn die Fehlermeldung nicht klar ist oder der Fehler auf einen internen Fehler zurückgeht, wechseln Sie zur AWS CloudFormation -Konsole und gehen folgendermaßen vor:

  1. Suchen Sie in der Ausgabe stackArnnach dem.

  2. Wählen Sie die Registerkarte Ereignisse des CloudFormation Stacks und suchen Sie nach fehlgeschlagenen Ereignissen.

    Der Statusgrund gibt an, warum ein Fehler im Zusammenhang mit dem Conformance Pack aufgetreten ist.

Wenn stackArn das in der Antwort nicht vorhanden ist

Wenn Sie bei der Erstellung eines Conformance Packs einen Fehler erhalten, das aber nicht in der Statusantwort enthalten stackArn ist, liegt das möglicherweise daran, dass die Stack-Erstellung fehlgeschlagen ist und der Stack CloudFormation zurückgesetzt und der Stack gelöscht wurde. Gehen Sie zur CloudFormation Konsole und suchen Sie nach Stacks, die sich im Status Gelöscht befinden. Der fehlerhafte Stack ist dort möglicherweise verfügbar. Der CloudFormation -Stack enthält den Namen des Conformance Packs. Wenn Sie den fehlgeschlagenen Stack finden, wählen Sie die Registerkarte Ereignisse des CloudFormation Stacks und suchen Sie nach fehlgeschlagenen Ereignissen.

Wenn keiner dieser Schritte funktioniert hat und die Ursache des Fehlers ein interner Servicefehler ist, versuchen Sie den Vorgang erneut oder wenden Sie sich an das AWS Support Center.

Hängende Regeln in einem Konformitätspaket

Die Bereitstellung eines Conformance Packs beinhaltet die Erstellung eines zugrunde liegenden AWS CloudFormation Stacks im Hintergrund, um die Regeln in der Conformance Pack-Vorlage bereitzustellen. Bei diesen Regeln handelt es sich um dienstbezogene Regeln, die außerhalb des Conformance Packs nicht aktualisiert oder gelöscht werden können.

Wenn Sie Änderungen am zugrunde liegenden CloudFormation Stack vornehmen, führt dies zu einer Situation, in der das Conformance Pack und seine Regeln nicht mehr verwaltet werden können. Diese Regeln, die nicht verwaltet werden können, sind unbedeutende Regeln.

Drift zwischen dem CloudFormation Stack und dem Conformance Pack

Sie können die Regelnamen in einer Conformance Pack-Vorlage direkt von der CloudFormation Konsole aus aktualisieren. Wenn Sie die Vorlage direkt von der CloudFormation Konsole aus aktualisieren, wird dadurch das bereitgestellte Conformance Pack nicht aktualisiert.

Diese Abweichung führt zu einer verhängnisvollen Regel. Wenn Sie versuchen, die Regel aus dem Conformance Pack zu löschen, erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:

"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID: my-request-ID; Proxy: null)".

Wenn Sie versuchen, das Conformance Pack zu löschen, kann die fehlerhafte Regel nicht gelöscht werden und Sie erhalten eine Fehlermeldung, die der folgenden ähnelt:

"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource: my-dangling-rule

Gehen Sie wie folgt vor, um dieses Problem zu beheben:

  1. Löschen Sie den Stack. Weitere Informationen finden Sie im CloudFormation Benutzerhandbuch unter Löschen eines Stacks auf der AWS CloudFormation Konsole.

  2. Löschen Sie das Conformance Pack mithilfe der AWS Config Konsole oder mit dem DeleteConformancePackAPI. Wenn es sich um ein organisatorisches Conformance Pack handelt und Sie das Management- oder delegierte Administratorkonto verwenden, verwenden Sie das. DeleteOrganizationConformancePackAPI

  3. Wenden Sie sich mit dem Amazon-Ressourcennamen (ARN) der geltenden Regeln im Konformitätspaket an das AWS Support Center, um Ihr Konto zu bereinigen.

Beachten Sie die folgenden bewährten Methoden, um dieses Problem zu vermeiden:

  • Nehmen Sie niemals direkte Aktualisierungen am CloudFormation Stack eines Conformance Packs vor.

  • Versuchen Sie niemals, Änderungen vorzunehmen, die zu Abweichungen zwischen dem Conformance Pack und dem zugrunde liegenden CloudFormation Stack führen.

  • Die mit dem Dienst verknüpfte Rolle (SLR) für Conformance Packs kann nicht geändert werden. Stellen Sie sicher, dass die Ressourcen, die Sie aktualisieren, Teil der Berechtigungsrichtlinie für sind. SLR

Gelöschter CloudFormation Stack für ein Conformance Pack

Sofern es nicht zu Abweichungen zwischen dem CloudFormation Stack und dem Conformance Pack kommt, ist es nicht empfehlenswert, Regeln in einem Conformance Pack oder seinem CloudFormation Stack direkt von der Konsole aus zu löschen. CloudFormation

Um dieses Problem zu beheben, wenden Sie sich mit dem Amazon-Ressourcennamen (ARN) der ausstehenden Regeln im Konformitätspaket an das AWS Support Center, um Ihr Konto zu bereinigen.

Beachten Sie die folgenden bewährten Methoden, um dieses Problem zu vermeiden:

  • Löschen Sie niemals den zugrunde liegenden CloudFormation Stack für ein Conformance Pack.

  • Löschen Sie Conformance Packs mit dem. DeleteConformancePackAPI Wenn es sich um ein organisatorisches Konformitätspaket handelt und Sie das Verwaltungs- oder delegierte Administratorkonto verwenden, verwenden Sie das. DeleteOrganizationConformancePackAPI