Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Solución de problemas para los paquetes de conformidad para AWS Config
Compruebe los siguientes elementos para solucionar los problemas que puedan surgir al utilizar los paquetes de conformidad.
Estado fallido de un paquete de conformidad
Si aparece un error que indica que el paquete de conformidad no se pudo crear, actualizar o eliminar correctamente, puede comprobar el estado del paquete de conformidad.
aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1
Debería ver un resultado similar a este.
"ConformancePackStatusDetails": [ { "ConformancePackName": "ConformancePackName", "ConformancePackId": "ConformancePackId", "ConformancePackArn": "ConformancePackArn", "ConformancePackState": "CREATE_FAILED", "StackArn": "CloudFormation stackArn", "ConformancePackStatusReason": "Failure Reason", "LastUpdateRequestedTime": 1573865201.619, "LastUpdateCompletedTime": 1573864244.653 } ]
Compruebe si hay información sobre el fallo. ConformancePackStatusReason
Cuando el valor de stackArn está presente en la respuesta
Si el mensaje de error no está claro o si el error es interno, vaya a la consola de AWS CloudFormation y haga lo siguiente:
-
Busque el valor de stackArn en la salida.
-
Seleccione la pestaña Eventos de la CloudFormation pila y compruebe si hay eventos fallidos.
El motivo del estado indica por qué se produjeron errores en el paquete de conformidad.
Cuando el valor de stackArn no está presente en la respuesta
Si recibe un error mientras crea el paquete de conformidad pero el valor de stackArn no está presente en la respuesta de estado, lo más probable es que el error se produjera al crear la pila y que CloudFormation la haya revertido y eliminado. Ve a la CloudFormation consola y busca las pilas que estén eliminadas. Es posible que la pila errónea esté disponible allí. La pila de CloudFormation contiene el nombre del paquete de conformidad. Si encuentras la pila fallida, selecciona la pestaña Eventos de la CloudFormation pila y comprueba si hay eventos fallidos.
Si ninguno de los pasos anteriores funciona y el motivo es un error de servicio interno, intente repetir la operación o póngase en contacto con el Centro de AWS Support
Reglas colgantes en un paquete de conformidad
La implementación de un paquete de conformidad implica la creación de una AWS CloudFormation pila subyacente en segundo plano para implementar las reglas en la plantilla del paquete de conformidad. Estas reglas son reglas vinculadas a un servicio y no se pueden actualizar ni eliminar fuera del paquete de conformidad.
Si realiza cambios en la CloudFormation pila subyacente, se produce una situación en la que el paquete de conformidad y sus reglas se vuelven inmanejables. Estas reglas inadministrables se denominan reglas colgantes.
Cambia entre la CloudFormation pila y el paquete de conformidad
Puede actualizar los nombres de las reglas en una plantilla de paquete de conformidad directamente desde la CloudFormation consola. Si actualiza la plantilla directamente desde la CloudFormation consola, no se actualiza el paquete de conformidad implementado.
Esta desviación crea una regla colgante. Si intenta eliminar la regla del paquete de conformidad, recibirá un error similar al siguiente:
"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID:my-request-ID; Proxy: null)".
Si intenta eliminar la regla del paquete de conformidad, la regla colgante no se podrá eliminar y recibirá un error similar al siguiente:
"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource:my-dangling-rule
Para solucionar este problema, siga estos pasos:
Elimine la pila de . Para obtener más información, consulte Eliminar una pila de la AWS CloudFormation consola en la Guía del CloudFormation usuario.
Elimine el paquete de conformidad mediante la AWS Config consola o la DeleteConformancePackAPI. Si se trata de un paquete de conformidad organizacional y utiliza la cuenta de administración o de administrador delegado, utilice la API. DeleteOrganizationConformancePack
Póngase en contacto con el Centro de AWS Support
, con el nombre de recurso de Amazon (ARN) de las reglas colgantes del paquete de conformidad, a fin de recibir asistencia para limpiar la cuenta.
Para evitar este problema, recuerde estas prácticas recomendadas:
Nunca realices actualizaciones directas en la CloudFormation pila de un paquete de conformidad.
Nunca intentes realizar cambios que generen diferencias entre el paquete de conformidad y su paquete subyacente CloudFormation .
El rol vinculado a un servicio (SLR) de los paquetes de conformidad no se puede modificar. Compruebe que los recursos que va a actualizar formen parte de la política de permisos del SLR.
Se ha eliminado la CloudFormation pila de un paquete de conformidad
A menos que haya diferencias entre la CloudFormation pila y el paquete de conformidad, nunca se recomienda eliminar las reglas de un paquete de conformidad o de su CloudFormation pila directamente desde la consola. CloudFormation
Para resolver este problema, póngase en contacto con el Centro de AWS Support
Para evitar este problema, recuerde estas prácticas recomendadas:
Nunca elimines la CloudFormation pila subyacente de un paquete de conformidad.
Elimine los paquetes de conformidad mediante la DeleteConformancePackAPI. Si se trata de un paquete de conformidad organizacional y utiliza la cuenta de administración o de administrador delegado, utilice la API. DeleteOrganizationConformancePack
