本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 針對 的一致性套件進行故障診斷 AWS Config
檢查下列問題,以協助疑難排解您在使用一致性套件時可能遇到的問題。
**Topics**
+ [一致性套件的失敗狀態](#w2aac22c41b7)
+ [一致性套件中的懸置規則](#w2aac22c41b9)
## 一致性套件的失敗狀態
如果您在建立、更新和刪除一致性套件時收到錯誤指出一致性套件失敗,您可以檢查一致性套件的狀態。
```
aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1
```
您應該會看到類似下列的輸出。
```
"ConformancePackStatusDetails": [
{
"ConformancePackName": "ConformancePackName",
"ConformancePackId": "ConformancePackId",
"ConformancePackArn": "ConformancePackArn",
"ConformancePackState": "CREATE_FAILED",
"StackArn": "CloudFormation stackArn",
"ConformancePackStatusReason": "Failure Reason",
"LastUpdateRequestedTime": 1573865201.619,
"LastUpdateCompletedTime": 1573864244.653
}
]
```
檢查 **ConformancePackStatusReason** 以取得發生失敗的相關資訊。
**When the stackArn is present in the response (當回應中存在 stackArn 時)**
如果錯誤訊息不清楚,或是失敗是由於內部錯誤造成,請移至 CloudFormation 主控台並執行下列動作:
1. 在輸出中搜尋 **stackArn**。
1. 選擇 CloudFormation 堆疊**的事件**索引標籤,並檢查失敗的事件。
狀態原因指出一致性套件失敗的原因。
**When the stackArn is not present in the response (當回應中不存在 stackArn 時)**
如果您在建立一致性套件時收到失敗,但狀態回應中不存在 stackArn,可能原因是堆疊建立失敗,CloudFormation 復原並刪除堆疊。前往 CloudFormation 主控台並搜尋處於**已刪除**狀態的堆疊。該處可能有提供失敗的堆疊。CloudFormation 堆疊包含一致性套件名稱。如果您找到失敗的堆疊,請選擇 CloudFormation 堆疊**的事件**索引標籤,並檢查失敗的事件。
如果這些步驟都無效,而且失敗原因是內部服務錯誤,請再次嘗試操作或聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
## 一致性套件中的懸置規則
部署一致性套件涉及在背景中建立基礎 AWS CloudFormation 堆疊,以在一致性套件範本中部署規則。這些規則是[服務連結規則](https://docs.aws.amazon.com/config/latest/developerguide/service-linked-awsconfig-rules.html),無法在一致性套件之外更新或刪除。
如果您變更基礎 CloudFormation 堆疊,這會導致一致性套件及其規則變得無法管理的情況。這些無法管理的規則是*懸置規則*。
**CloudFormation 堆疊與一致性套件之間的偏離**
您可以直接從 CloudFormation 主控台更新一致性套件範本中的規則名稱。如果您直接從 CloudFormation 主控台更新範本,則不會更新部署的一致性套件。
此偏離會建立懸置規則。如果您嘗試從一致性套件中刪除規則,您會收到類似以下的錯誤:
```
"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID: my-request-ID; Proxy: null)".
```
如果您嘗試刪除一致性套件,則無法刪除懸置規則,而且您會收到與下列項目相同的錯誤:
```
"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource: my-dangling-rule
```
若要修正此問題,請執行下列步驟:
1. 刪除堆疊 如需詳細資訊,請參閱 *CloudFormation 使用者指南*中的[刪除 CloudFormation 主控台上的堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)。
1. 使用 AWS Config 主控台或使用 [DeleteConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConformancePack.html) API 刪除一致性套件。如果它是組織一致性套件,而且您使用的是 管理或委派管理員帳戶,請使用 [DeleteOrganizationConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteOrganizationConformancePack.html) API。
1. 使用一致性套件中懸置規則的 Amazon Resource Name (ARN) 聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/),以協助清除您的帳戶。
若要避免此問題,請記住下列最佳實務:
+ 切勿直接更新一致性套件的 CloudFormation 堆疊。
+ 切勿嘗試進行變更,以在一致性套件及其基礎 CloudFormation 堆疊之間建立偏離。
+ 無法修改[一致性套件的服務連結角色 (SLR)](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-ConfigConformsServiceRolePolicy)。請確定您正在更新的資源是 SLR 許可政策的一部分。
**刪除一致性套件的 CloudFormation 堆疊**
除非 CloudFormation 堆疊與一致性套件之間有偏離,否則絕不建議直接從 CloudFormation 主控台刪除一致性套件或其 CloudFormation 堆疊中的規則。
若要修正此問題,請使用一致性套件中懸置規則的 Amazon Resource Name (ARN) 聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/),以協助清除您的帳戶。
若要避免此問題,請記住下列最佳實務:
+ 切勿刪除一致性套件的基礎 CloudFormation 堆疊。
+ 使用 [DeleteConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConformancePack.html) API 刪除一致性套件。如果它是組織一致性套件,且您使用的是 管理或委派管理員帳戶,請使用 [DeleteOrganizationConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteOrganizationConformancePack.html) API。