Solução de problemas - AWS Config
Status de falha em um pacote de conformidadeRegras pendentes em um pacote de conformidade

Solução de problemas

Verifique os problemas a seguir para ajudar a solucionar problemas que você possa encontrar ao usar pacotes de conformidade.

Status de falha em um pacote de conformidade

Se você receber um erro indicando que o pacote de conformidade falhou durante a criação, a atualização ou a exclusão, verifique o status do pacote de conformidade.

aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1

Você deve ver saída semelhante ao seguinte:

"ConformancePackStatusDetails": [
    {
        "ConformancePackName": "ConformancePackName",
        "ConformancePackId": "ConformancePackId",
        "ConformancePackArn": "ConformancePackArn",
        "ConformancePackState": "CREATE_FAILED",
        "StackArn": "CloudFormation stackArn",
        "ConformancePackStatusReason": "Failure Reason",
        "LastUpdateRequestedTime": 1573865201.619,
        "LastUpdateCompletedTime": 1573864244.653
    }
]

Verifique o ConformancePackStatusReason para obter informações sobre a falha.

When the stackArn is present in the response (Quando o stackArn está presente na resposta)

Se a mensagem de erro não estiver clara ou se a falha for por causa de um erro interno, acesse o console do AWS CloudFormation e faça o seguinte:

  1. Procure o stackArn da saída.

  2. Escolha a guia Eventos da pilha do CloudFormation e verifique se há eventos com falha.

    O motivo do status indica por que o pacote de conformidade falhou.

When the stackArn is not present in the response (Quando o stackArn não está presente na resposta)

Se você receber uma falha ao criar um pacote de conformidade, mas o stackArn não estiver presente na resposta do status, o possível motivo é que houve falha na criação da pilha e o CloudFormation reverteu e a excluiu. Acesse o console do CloudFormation e procure pilhas que estão em um estado Excluído. A pilha com falha pode estar disponível lá. A pilha do CloudFormation contém o nome do pacote de conformidade. Se você encontrar a pilha com falha, escolha a guia Eventos da pilha do CloudFormation e verifique se há eventos com falha.

Se nenhuma dessas etapas funcionou e se o motivo da falha for um erro interno do serviço, tente executar a operação novamente ou entre em contato com a Central do AWS Support.

Regras pendentes em um pacote de conformidade

A implantação de um pacote de conformidade envolve a criação de uma pilha do AWS CloudFormation subjacente em segundo plano para implantar as regras no modelo do pacote de conformidade. Essas são regras vinculadas ao serviço e não podem ser atualizadas ou excluídas fora do pacote de conformidade.

Se você fizer alterações na pilha subjacente do CloudFormation, isso resultará em uma situação em que o pacote de conformidade e suas regras se tornarão não gerenciáveis. Essas regras não gerenciáveis são regras pendentes.

Alterne entre a pilha do CloudFormation e o pacote de conformidade

Você pode atualizar os nomes das regras em um modelo de pacote de conformidade diretamente do console do CloudFormation. Se você atualizar o modelo diretamente do console do CloudFormation, isso não atualizará o pacote de conformidade implantado.

Esse desvio cria uma regra pendente. Se tentar excluir a regra do pacote de conformidade, você receberá um erro semelhante ao seguinte:

"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID: my-request-ID; Proxy: null)".

Se tentar excluir o pacote de conformidade, a regra pendente não poderá ser excluída e você receberá um erro semelhante ao seguinte:

"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource: my-dangling-rule

Para resolver esse problema, siga as seguintes etapas:

  1. Exclua a pilha. Para obter mais informações, consulte Exclusão de uma pilha no console do AWS CloudFormation no Guia do usuário do CloudFormation.

  2. Exclua o pacote de conformidade usando o console do AWS Config ou usando a API DeleteConformancePack. Se for um pacote de conformidade organizacional e você estiver usando a conta de gerenciamento ou de administrador delegado, use a API DeleteOrganizationConformancePack.

  3. Entre em contato com a Central do AWS Support com o nome do recurso da Amazon (ARN) das regras pendentes no pacote de conformidade para ajudar a limpar sua conta.

Para evitar esse problema, lembre-se destas práticas recomendadas:

  • Nunca faça atualizações diretas na pilha do CloudFormation de um pacote de conformidade.

  • Nunca tente fazer alterações que criem um desvio entre o pacote de conformidade e sua pilha subjacente do CloudFormation.

  • A função vinculada ao serviço (SLR) dos pacotes de conformidade não pode ser modificada. Verifique se os recursos que você está atualizando fazem parte da política de permissões da SLR.

Pilha do CloudFormation excluída para um pacote de conformidade

A menos que haja um desvio entre a pilha do CloudFormation e o pacote de conformidade, nunca é recomendável excluir regras em um pacote de conformidade ou em sua pilha do CloudFormation diretamente do console do CloudFormation.

Para corrigir esse problema, entre em contato com a Central do AWS Support com o nome do recurso da Amazon (ARN) das regras pendentes no pacote de conformidade para ajudar a limpar sua conta.

Para evitar esse problema, lembre-se destas práticas recomendadas: