Status gagal untuk paket kesesuaian Aturan menggantung dalam paket kesesuaian

Pemecahan Masalah

Periksa masalah berikut untuk membantu memecahkan masalah yang mungkin Anda hadapi saat menggunakan paket kesesuaian.

Topik

Status gagal untuk paket kesesuaian
Aturan menggantung dalam paket kesesuaian

Status gagal untuk paket kesesuaian

Jika Anda mendapatkan kesalahan yang menunjukkan bahwa paket kesesuaian gagal saat membuat, memperbarui, atau menghapusnya, Anda dapat memeriksa status paket kesesuaian Anda.


aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1

Anda akan melihat output seperti yang berikut ini.


"ConformancePackStatusDetails": [
    {
        "ConformancePackName": "ConformancePackName",
        "ConformancePackId": "ConformancePackId",
        "ConformancePackArn": "ConformancePackArn",
        "ConformancePackState": "CREATE_FAILED",
        "StackArn": "CloudFormation stackArn",
        "ConformancePackStatusReason": "Failure Reason",
        "LastUpdateRequestedTime": 1573865201.619,
        "LastUpdateCompletedTime": 1573864244.653
    }
]

Periksa ConformancePackStatusReasoninformasi tentang kegagalan.

Ketika stackArn hadir dalam respon

Jika pesan kesalahan tidak jelas atau jika kegagalan disebabkan oleh kesalahan internal, buka AWS CloudFormation konsol dan lakukan hal berikut:

Cari stackArndari output.
Pilih tab Peristiwa CloudFormation tumpukan dan periksa peristiwa yang gagal.

Alasan status menunjukkan mengapa paket kesesuaian gagal.

Ketika stackArn tidak hadir dalam respon

Jika Anda menerima kegagalan saat Anda membuat paket kesesuaian tetapi tidak ada dalam respons status, alasan yang mungkin adalah bahwa pembuatan tumpukan gagal dan CloudFormation memutar kembali dan menghapus tumpukan. stackArn Buka CloudFormation konsol dan cari tumpukan yang berada dalam keadaan Dihapus. Tumpukan yang gagal mungkin tersedia di sana. CloudFormation Tumpukan berisi nama paket kesesuaian. Jika Anda menemukan tumpukan yang gagal, pilih tab Peristiwa CloudFormation tumpukan dan periksa peristiwa yang gagal.

Jika tidak satu pun dari langkah-langkah ini berhasil dan jika alasan kegagalan adalah kesalahan layanan internal, maka coba operasi lagi atau hubungi AWS Support Pusat.

Aturan menggantung dalam paket kesesuaian

Menerapkan paket kesesuaian melibatkan pembuatan yang mendasarinya AWS CloudFormation tumpukan di latar belakang untuk menerapkan aturan dalam template paket kesesuaian. Aturan ini adalah aturan terkait layanan dan tidak dapat diperbarui atau dihapus di luar paket kesesuaian.

Jika Anda membuat perubahan pada CloudFormation tumpukan yang mendasarinya, ini menghasilkan situasi di mana paket kesesuaian dan aturannya menjadi tidak dapat dikelola. Aturan yang tidak dapat dikelola ini adalah aturan yang menggantung.

Melayang di antara CloudFormation tumpukan dan paket kesesuaian

Anda dapat memperbarui nama aturan dalam template paket kesesuaian langsung dari konsol. CloudFormation Jika Anda memperbarui template langsung dari CloudFormation konsol, ini tidak memperbarui paket kesesuaian yang diterapkan.

Penyimpangan ini menciptakan aturan menggantung. Jika Anda mencoba menghapus aturan dari paket kesesuaian, Anda menerima kesalahan yang mirip dengan berikut ini:


"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID: my-request-ID; Proxy: null)".

Jika Anda mencoba menghapus paket kesesuaian, aturan menggantung tidak dapat dihapus dan Anda menerima kesalahan yang mirip dengan berikut ini:


"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource: my-dangling-rule

Untuk memperbaiki masalah ini, lakukan langkah-langkah berikut:

Hapus tumpukan. Untuk informasi selengkapnya, lihat Menghapus tumpukan di AWS CloudFormation konsol di Panduan CloudFormation Pengguna.
Hapus paket kesesuaian menggunakan AWS Config konsol atau menggunakan DeleteConformancePackAPI. Jika ini adalah paket kesesuaian organisasi dan Anda menggunakan manajemen atau akun administrator yang didelegasikan, gunakan. DeleteOrganizationConformancePackAPI
Jangkau ke AWS Support Pusatkan dengan Amazon Resource Name (ARN) dari aturan yang menggantung dalam paket kesesuaian untuk membantu membersihkan akun Anda.

Untuk menghindari masalah ini, ingat praktik terbaik ini:

Jangan pernah melakukan pembaruan langsung ke CloudFormation tumpukan paket kesesuaian.
Jangan pernah mencoba dan membuat perubahan yang membuat penyimpangan antara paket kesesuaian dan tumpukan yang mendasarinya. CloudFormation
Peran terkait layanan (SLR) untuk paket kesesuaian tidak dapat dimodifikasi. Pastikan sumber daya yang Anda perbarui adalah bagian dari kebijakan izin untuk. SLR

CloudFormation Tumpukan yang dihapus untuk paket kesesuaian

Kecuali ada penyimpangan antara CloudFormation tumpukan dan paket kesesuaian, tidak pernah disarankan untuk menghapus aturan dalam paket kesesuaian atau tumpukannya langsung dari konsol. CloudFormation CloudFormation

Untuk memperbaiki masalah ini, hubungi AWS Support Pusatkan dengan Amazon Resource Name (ARN) dari aturan yang menggantung dalam paket kesesuaian untuk membantu membersihkan akun Anda.

Untuk menghindari masalah ini, ingat praktik terbaik ini:

Jangan pernah menghapus CloudFormation tumpukan yang mendasarinya untuk paket kesesuaian.
Hapus paket kesesuaian menggunakan file. DeleteConformancePackAPI Jika ini adalah paket kesesuaian organisasi dan Anda menggunakan manajemen atau akun administrator yang didelegasikan, gunakan. DeleteOrganizationConformancePackAPI

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengelola Paket Kesesuaian Organisasi

Remediasi