Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Résolution des problèmes
Vérifiez les problèmes suivants pour résoudre les problèmes que vous pourriez rencontrer lors de l'utilisation des packs de conformité.
État d'échec d'un pack de conformité
Si une erreur s'affiche indiquant que le pack de conformité a échoué lors de sa création, de sa mise à jour ou de sa suppression, vous pouvez vérifier le statut de votre pack de conformité.
aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1
Vous devez visualiser des résultats similaires à ce qui suit.
"ConformancePackStatusDetails": [ { "ConformancePackName": "ConformancePackName", "ConformancePackId": "ConformancePackId", "ConformancePackArn": "ConformancePackArn", "ConformancePackState": "CREATE_FAILED", "StackArn": "CloudFormation stackArn", "ConformancePackStatusReason": "Failure Reason", "LastUpdateRequestedTime": 1573865201.619, "LastUpdateCompletedTime": 1573864244.653 } ]
Consultez le ConformancePackStatusReasonpour obtenir des informations sur l'échec.
Lorsque le stackArn est présent dans la réponse
Si le message d'erreur n'est pas clair ou si l'échec est dû à une erreur interne, rendez-vous sur AWS CloudFormation console et procédez comme suit :
-
Recherchez le dans stackArnla sortie.
-
Choisissez l'onglet Événements de la CloudFormation pile et recherchez les événements ayant échoué.
Le motif du statut indique pourquoi le pack de conformité a échoué.
Lorsque le n' stackArn est pas présent dans la réponse
Si vous recevez un échec lors de la création d'un pack de conformité mais que celui-ci n' stackArn est pas présent dans la réponse d'état, cela peut être dû au fait que la création de la pile a échoué, puis a été CloudFormation annulée et supprimée. Accédez à la CloudFormation console et recherchez les piles dont l'état est supprimé. La pile qui a échoué peut y être disponible. La CloudFormation pile contient le nom du pack de conformité. Si vous trouvez la pile défaillante, cliquez sur l'onglet Événements de la CloudFormation pile et recherchez les événements ayant échoué.
Si aucune de ces étapes n'a fonctionné et si la cause de l'échec est une erreur de service interne, essayez à nouveau ou contactez le AWS Support Centre
Des règles en suspens dans un pack de conformité
Le déploiement d'un pack de conformité implique la création d'un sous-jacent AWS CloudFormation empilez-les en arrière-plan pour déployer les règles du modèle de pack de conformité. Ces règles sont liées à un service et ne peuvent être ni mises à jour ni supprimées en dehors du pack de conformité.
Si vous apportez des modifications à la CloudFormation pile sous-jacente, le pack de conformité et ses règles deviennent ingérables. Ces règles ingérables sont des règles suspendues.
Dérive entre la CloudFormation pile et le pack de conformité
Vous pouvez mettre à jour les noms des règles dans un modèle de pack de conformité directement depuis la CloudFormation console. Si vous mettez à jour le modèle directement depuis la CloudFormation console, cela ne met pas à jour le pack de conformité déployé.
Cette dérive crée une règle pendante. Si vous essayez de supprimer la règle du pack de conformité, vous recevez un message d'erreur similaire au suivant :
"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID:my-request-ID; Proxy: null)".
Si vous essayez de supprimer le pack de conformité, la règle suspendue ne peut pas être supprimée et vous recevez un message d'erreur similaire au suivant :
"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource:my-dangling-rule
Pour résoudre ce problème, procédez comme suit :
Supprimer la pile. Pour plus d'informations, voir Supprimer une pile sur le AWS CloudFormation console dans le guide de CloudFormation l'utilisateur.
Supprimez le pack de conformité à l'aide du AWS Config console ou en utilisant le DeleteConformancePackAPI. S'il s'agit d'un pack de conformité organisationnel et que vous utilisez le compte de gestion ou d'administrateur délégué, utilisez le DeleteOrganizationConformancePackAPI.
Communiquez avec le AWS Support Au centre
, inscrivez le nom de ressource Amazon (ARN) des règles en suspens du pack de conformité pour vous aider à nettoyer votre compte.
Pour éviter ce problème, n'oubliez pas les bonnes pratiques suivantes :
N'apportez jamais de mise à jour directe à la CloudFormation pile d'un pack de conformité.
N'essayez jamais d'apporter des modifications susceptibles de créer une dérive entre le pack de conformité et sa CloudFormation pile sous-jacente.
Le rôle lié au service (SLR) pour les packs de conformité ne peut pas être modifié. Assurez-vous que les ressources que vous mettez à jour font partie de la politique d'autorisation duSLR.
CloudFormation Pile supprimée pour un pack de conformité
Sauf en cas de dérive entre la CloudFormation pile et le pack de conformité, il n'est jamais recommandé de supprimer les règles d'un pack de conformité ou de sa CloudFormation pile directement depuis la CloudFormation console.
Pour résoudre ce problème, contactez le AWS Support Au centre
Pour éviter ce problème, n'oubliez pas les bonnes pratiques suivantes :
Ne supprimez jamais la CloudFormation pile sous-jacente d'un pack de conformité.
Supprimez les packs de conformité à l'aide du. DeleteConformancePackAPI S'il s'agit d'un pack de conformité organisationnel et que vous utilisez le compte de gestion ou d'administrateur délégué, utilisez le DeleteOrganizationConformancePackAPI.
