Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Solución de problemas para los paquetes de conformidad para AWS Config
Compruebe los siguientes elementos para solucionar los problemas que puedan surgir al utilizar los paquetes de conformidad.
Estado fallido de un paquete de conformidad
Si aparece un error que indica que el paquete de conformidad no se pudo crear, actualizar o eliminar correctamente, puede comprobar el estado del paquete de conformidad.
aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1
Debería ver un resultado similar a este.
"ConformancePackStatusDetails": [ { "ConformancePackName": "ConformancePackName", "ConformancePackId": "ConformancePackId", "ConformancePackArn": "ConformancePackArn", "ConformancePackState": "CREATE_FAILED", "StackArn": "CloudFormation stackArn", "ConformancePackStatusReason": "Failure Reason", "LastUpdateRequestedTime": 1573865201.619, "LastUpdateCompletedTime": 1573864244.653 } ]
Compruebe si hay información sobre el fallo. ConformancePackStatusReason
Cuando stackArn está presente en la respuesta
Si el mensaje de error no está claro o si el error es interno, vaya a la consola de AWS CloudFormation y haga lo siguiente:
-
Busque el stackArndesde la salida.
-
Seleccione la pestaña Eventos de la CloudFormation pila y compruebe si hay eventos fallidos.
El motivo del estado indica por qué se produjeron errores en el paquete de conformidad.
Cuando no stackArn está presente en la respuesta
Si recibe un error al crear un paquete de conformidad, pero no aparece en la stackArn respuesta de estado, la posible razón es que la creación de la pila ha fallado y se ha CloudFormation revertido y eliminado la pila. Ve a la CloudFormation consola y busca las pilas que estén en estado Eliminadas. Es posible que la pila errónea esté disponible allí. La pila de CloudFormation contiene el nombre del paquete de conformidad. Si encuentras la pila fallida, selecciona la pestaña Eventos de la CloudFormation pila y comprueba si hay eventos fallidos.
Si ninguno de los pasos anteriores funciona y el motivo es un error de servicio interno, intente repetir la operación o póngase en contacto con el Centro de AWS Support
Reglas colgantes en un paquete de conformidad
La implementación de un paquete de conformidad implica la creación de una AWS CloudFormation pila subyacente en segundo plano para implementar las reglas en la plantilla del paquete de conformidad. Estas reglas son reglas vinculadas a un servicio y no se pueden actualizar ni eliminar fuera del paquete de conformidad.
Si realiza cambios en la CloudFormation pila subyacente, se produce una situación en la que el paquete de conformidad y sus reglas se vuelven inmanejables. Estas reglas inadministrables se denominan reglas colgantes.
Cambia entre la CloudFormation pila y el paquete de conformidad
Puede actualizar los nombres de las reglas en una plantilla de paquete de conformidad directamente desde la CloudFormation consola. Si actualiza la plantilla directamente desde la CloudFormation consola, no se actualiza el paquete de conformidad implementado.
Esta desviación crea una regla colgante. Si intenta eliminar la regla del paquete de conformidad, recibirá un error similar al siguiente:
"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID:my-request-ID; Proxy: null)".
Si intenta eliminar la regla del paquete de conformidad, la regla colgante no se podrá eliminar y recibirá un error similar al siguiente:
"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource:my-dangling-rule
Para solucionar este problema, siga estos pasos:
Elimine la pila de . Para obtener más información, consulte Eliminar una pila de la AWS CloudFormation consola en la Guía del CloudFormation usuario.
Elimine el paquete de conformidad mediante la AWS Config consola o mediante el DeleteConformancePackAPI. Si se trata de un paquete de conformidad organizacional y utiliza la cuenta de administración o de administrador delegado, utilice el. DeleteOrganizationConformancePackAPI
Ponte en contacto con el AWS Support Centro
con el nombre del recurso de Amazon (ARN) de las reglas pendientes del paquete de conformidad para ayudarte a limpiar tu cuenta.
Para evitar este problema, recuerde estas prácticas recomendadas:
Nunca realices actualizaciones directas en la CloudFormation pila de un paquete de conformidad.
Nunca intentes realizar cambios que generen diferencias entre el paquete de conformidad y su paquete subyacente CloudFormation .
La función vinculada al servicio (SLR) de los paquetes de conformidad no se puede modificar. Asegúrese de que los recursos que va a actualizar forman parte de la política de permisos del. SLR
Se ha eliminado la CloudFormation pila de un paquete de conformidad
A menos que haya diferencias entre la CloudFormation pila y el paquete de conformidad, nunca se recomienda eliminar las reglas de un paquete de conformidad o de su CloudFormation pila directamente desde la consola. CloudFormation
Para solucionar este problema, ponte en contacto con el AWS Support Centro
Para evitar este problema, recuerde estas prácticas recomendadas:
Nunca elimines la CloudFormation pila subyacente de un paquete de conformidad.
Elimine los paquetes de conformidad mediante. DeleteConformancePackAPI Si se trata de un paquete de conformidad organizacional y utiliza la cuenta de administración o de administrador delegado, utilice el. DeleteOrganizationConformancePackAPI
