용 적합성 팩 문제 해결 AWS Config - AWS Config
적합성 팩의 실패 상태적합성 팩의 누락 규칙

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

용 적합성 팩 문제 해결 AWS Config

적합성 팩을 사용할 때 발생할 수 있는 문제를 해결하려면 다음 문제를 확인하세요.

적합성 팩의 실패 상태

적합성 팩을 생성, 업데이트 또는 삭제하는 중에 적합성 팩이 실패했음을 나타내는 오류가 발생하는 경우 적합성 팩의 상태를 확인할 수 있습니다.

aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1

다음과 유사한 출력 화면이 표시되어야 합니다.

"ConformancePackStatusDetails": [
    {
        "ConformancePackName": "ConformancePackName",
        "ConformancePackId": "ConformancePackId",
        "ConformancePackArn": "ConformancePackArn",
        "ConformancePackState": "CREATE_FAILED",
        "StackArn": "CloudFormation stackArn",
        "ConformancePackStatusReason": "Failure Reason",
        "LastUpdateRequestedTime": 1573865201.619,
        "LastUpdateCompletedTime": 1573864244.653
    }
]

실패에 대한 자세한 내용은 ConformancePackStatusReason을 확인하세요.

StackArn이 응답에 있는 경우

오류 메시지가 명확하지 않거나 내부 오류로 인한 실패인 경우 AWS CloudFormation 콘솔로 이동하여 다음을 수행합니다.

  1. 출력에서 stackArn을 검색합니다.

  2. CloudFormation 스택의 이벤트 탭을 선택하고 실패한 이벤트가 있는지 확인합니다.

    상태 이유는 적합성 팩이 실패한 이유를 나타냅니다.

StackArn이 응답에 없는 경우

적합성 팩을 만드는 중에 실패 메시지가 표시되지만 stackArn이 상태 응답에 없는 경우, 가능한 이유는 스택 생성이 실패하고 CloudFormation이 롤백되고 스택이 삭제되었기 때문입니다. CloudFormation 콘솔로 이동하여 삭제됨 상태의 스택을 검색합니다. 실패한 스택을 거기에서 사용할 수 있습니다. CloudFormation 스택에는 적합성 팩 이름이 포함되어 있습니다. 실패한 스택을 찾으면 CloudFormation 스택의 이벤트 탭을 선택하고 실패한 이벤트가 있는지 확인합니다.

이러한 단계로 전혀 해결할 수 없고 실패 원인이 내부 서비스 오류인 경우 작업을 다시 시도하거나 AWS Support 센터에 문의하세요.

적합성 팩의 누락 규칙

적합성 팩을 배포하려면 적합성 팩 템플릿에 규칙을 배포하기 위해 백그라운드에서 기본 AWS CloudFormation 스택을 생성해야 합니다. 이러한 규칙은 서비스 연결 규칙이며 적합성 팩 외부에서 업데이트하거나 삭제할 수 없습니다.

기본 CloudFormation 스택을 변경하면 적합성 팩과 해당 규칙을 관리할 수 없는 상황이 발생합니다. 이러한 관리 불가능한 규칙을 누락 규칙이라고 합니다.

CloudFormation 스택과 적합성 팩 간의 드리프트

CloudFormation 콘솔에서 직접 적합성 팩 템플릿의 규칙 이름을 업데이트할 수 있습니다. CloudFormation 콘솔에서 템플릿을 직접 업데이트해도 배포된 적합성 팩은 업데이트되지 않습니다.

이 드리프트는 누락 규칙을 생성합니다. 적합성 팩에서 규칙을 삭제하려고 하면 다음과 유사한 오류가 발생합니다.

"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID: my-request-ID; Proxy: null)".

적합성 팩을 삭제하려고 하면 누락 규칙을 삭제할 수 없으며 다음과 유사한 오류가 발생합니다.

"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource: my-dangling-rule

이 문제를 해결하려면 아래 단계를 따르세요.

  1. 스택을 삭제합니다. 자세한 내용은 CloudFormation 사용 설명서의 AWS CloudFormation 콘솔에서 스택 삭제를 참조하세요.

  2. AWS Config 콘솔을 사용하거나 DeleteConformancePack API를 사용하여 적합성 팩을 삭제합니다. 조직 적합성 팩이고 관리 또는 위임된 관리자 계정을 사용하는 경우 DeleteOrganizationConformancePack API를 사용합니다.

  3. 적합성 팩에 있는 누락 규칙의 Amazon 리소스 이름(ARN)으로 AWS Support 센터에 문의하여 계정을 정리하는 데 도움을 받을 수 있습니다.

이 문제를 방지하려면 다음 모범 사례를 기억하세요.

  • 적합성 팩의 CloudFormation 스택을 직접 업데이트하지 마세요.

  • 적합성 팩과 기본 CloudFormation 스택 간에 드리프트를 생성하는 변경을 시도하지 마세요.

  • 적합성 팩의 서비스 연결 역할(SLR)은 수정할 수 없습니다. 업데이트하려는 리소스가 SLR에 대한 권한 정책의 일부인지 확인합니다.

적합성 팩에 대해 삭제된 CloudFormation 스택

CloudFormation 스택과 적합성 팩 사이에 변동이 없는 한 적합성 팩 또는 해당 CloudFormation 스택의 규칙을 CloudFormation 콘솔에서 직접 삭제하는 것은 권장되지 않습니다.

이 문제를 해결하려면 적합성 팩에 있는 누락 규칙의 Amazon 리소스 이름(ARN)으로 AWS Support 센터에 문의하여 계정을 정리하세요.

이 문제를 방지하려면 다음 모범 사례를 기억하세요.

  • 적합성 팩의 기본 CloudFormation 스택을 삭제하지 마세요.

  • DeleteConformancePack API를 사용하여 적합성 팩을 삭제합니다. 조직 적합성 팩이고 관리 또는 위임된 관리자 계정을 사용하는 경우 DeleteOrganizationConformancePack API를 사용합니다.