기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Config용 적합성 팩 문제 해결
<a name="troubleshooting-conformance-pack"></a>

적합성 팩을 사용할 때 발생할 수 있는 문제를 해결하려면 다음 문제를 확인하세요.

**Topics**
+ [적합성 팩의 실패 상태](#w2aac22c41b7)
+ [적합성 팩의 누락 규칙](#w2aac22c41b9)

## 적합성 팩의 실패 상태
<a name="w2aac22c41b7"></a>

적합성 팩을 생성, 업데이트 또는 삭제하는 중에 적합성 팩이 실패했음을 나타내는 오류가 발생하는 경우 적합성 팩의 상태를 확인할 수 있습니다.

```
aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1
```

다음과 유사한 출력 화면이 표시되어야 합니다.

```
"ConformancePackStatusDetails": [
    {
        "ConformancePackName": "ConformancePackName",
        "ConformancePackId": "ConformancePackId",
        "ConformancePackArn": "ConformancePackArn",
        "ConformancePackState": "CREATE_FAILED",
        "StackArn": "CloudFormation stackArn",
        "ConformancePackStatusReason": "Failure Reason",
        "LastUpdateRequestedTime": 1573865201.619,
        "LastUpdateCompletedTime": 1573864244.653
    }
]
```

실패에 대한 자세한 내용은 **ConformancePackStatusReason**을 확인하세요.

**StackArn이 응답에 있는 경우**

오류 메시지가 명확하지 않거나 내부 오류로 인한 실패인 경우 CloudFormation 콘솔로 이동하여 다음을 수행합니다.

1. 출력에서 **stackArn**을 검색합니다.

1. CloudFormation 스택의 **이벤트** 탭을 선택하고 실패한 이벤트가 있는지 확인합니다.

   상태 이유는 적합성 팩이 실패한 이유를 나타냅니다.

**StackArn이 응답에 없는 경우**

적합성 팩을 만드는 중에 실패 메시지가 표시되지만 stackArn이 상태 응답에 없는 경우, 가능한 이유는 스택 생성이 실패하고 CloudFormation이 롤백되고 스택이 삭제되었기 때문입니다. CloudFormation 콘솔로 이동하여 **삭제됨** 상태의 스택을 검색합니다. 실패한 스택을 거기에서 사용할 수 있습니다. CloudFormation 스택에는 적합성 팩 이름이 포함되어 있습니다. 실패한 스택을 찾으면 CloudFormation 스택의 **이벤트** 탭을 선택하고 실패한 이벤트가 있는지 확인합니다.

이러한 단계로 전혀 해결할 수 없고 실패 원인이 내부 서비스 오류인 경우 작업을 다시 시도하거나 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에 문의하세요.

## 적합성 팩의 누락 규칙
<a name="w2aac22c41b9"></a>

적합성 팩을 배포하려면 적합성 팩 템플릿에 규칙을 배포할 수 있도록 백그라운드에 기본 AWS CloudFormation 스택을 생성해야 합니다. 이러한 규칙은 [서비스 연결 규칙](https://docs.aws.amazon.com/config/latest/developerguide/service-linked-awsconfig-rules.html)이며 적합성 팩 외부에서 업데이트하거나 삭제할 수 없습니다.

기본 CloudFormation 스택을 변경하면 적합성 팩과 해당 규칙을 관리할 수 없는 상황이 발생합니다. 이러한 관리 불가능한 규칙을 *누락 규칙*이라고 합니다.

**CloudFormation 스택과 적합성 팩 간의 드리프트**

CloudFormation 콘솔에서 직접 적합성 팩 템플릿의 규칙 이름을 업데이트할 수 있습니다. CloudFormation 콘솔에서 템플릿을 직접 업데이트해도 배포된 적합성 팩은 업데이트되지 않습니다.

이 드리프트는 누락 규칙을 생성합니다. 적합성 팩에서 규칙을 삭제하려고 하면 다음과 유사한 오류가 발생합니다.

```
"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID: my-request-ID; Proxy: null)".
```

적합성 팩을 삭제하려고 하면 누락 규칙을 삭제할 수 없으며 다음과 유사한 오류가 발생합니다.

```
"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource: my-dangling-rule
```

이 문제를 해결하려면 아래 단계를 따르세요.

1. 스택을 삭제합니다. 자세한 내용은 *CloudFormation 사용 설명서*의 [CloudFormation 콘솔에서 스택 삭제](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)를 참조하세요.

1. AWS Config 콘솔을 사용하거나 [DeleteConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConformancePack.html) API를 사용하여 적합성 팩을 삭제합니다. 조직 적합성 팩이고 관리 또는 위임된 관리자 계정을 사용하는 경우 [DeleteOrganizationConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteOrganizationConformancePack.html) API를 사용합니다.

1. 적합성 팩에 있는 누락 규칙의 Amazon 리소스 이름(ARN)으로 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에 문의하여 계정을 정리하는 데 도움을 받을 수 있습니다.

이 문제를 방지하려면 다음 모범 사례를 기억하세요.
+ 적합성 팩의 CloudFormation 스택을 직접 업데이트하지 마세요.
+ 적합성 팩과 기본 CloudFormation 스택 간에 드리프트를 생성하는 변경을 시도하지 마세요.
+ [적합성 팩의 서비스 연결 역할(SLR)](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-ConfigConformsServiceRolePolicy)은 수정할 수 없습니다. 업데이트하려는 리소스가 SLR에 대한 권한 정책의 일부인지 확인합니다.

**적합성 팩에 대해 삭제된 CloudFormation 스택**

CloudFormation 스택과 적합성 팩 사이에 변동이 없는 한 적합성 팩 또는 해당 CloudFormation 스택의 규칙을 CloudFormation 콘솔에서 직접 삭제하는 것은 권장되지 않습니다.

이 문제를 해결하려면 적합성 팩에 있는 누락 규칙의 Amazon 리소스 이름(ARN)으로 [AWS Support 센터에](https://console.aws.amazon.com/support/home#/) 문의하여 계정을 정리하세요.

이 문제를 방지하려면 다음 모범 사례를 기억하세요.
+ 적합성 팩의 기본 CloudFormation 스택을 삭제하지 마세요.
+ [DeleteConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConformancePack.html) API를 사용하여 적합성 팩을 삭제합니다. 조직 적합성 팩이고 관리 또는 위임된 관리자 계정을 사용하는 경우 [DeleteOrganizationConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteOrganizationConformancePack.html) API를 사용합니다.