Wie behebe ich Fehler bei der Drift-Erkennung in CloudFormation mit meiner von AWS verwalteten Regel „cloudformation-stack-drift-detection-check“ für AWS Config?

Kurzbeschreibung

Sie können die folgenden Fehler erhalten, auch wenn der Drift-Status Ihres Stacks in der CloudFormation-Konsole als IN_SYNC angezeigt wird:

• „AWS CloudFormation konnte den Drift nicht erkennen und hat die standardmäßige Einstellung NON_COMPLIANT übernommen. Bewerten Sie die Regel erneut und versuchen Sie es erneut. Wenn das Problem weiterhin besteht, wenden Sie sich an den AWS CloudFormation-Support.“
• „Ihr Vorgang zur Erkennung von Stack-Drift für den festgelegten Stack ist fehlgeschlagen. Überprüfen Sie Ihre vorhandenen AWS CloudFormation-Rollenberechtigungen und fügen Sie die fehlenden Berechtigungen hinzu.“

Wählen Sie je nach der Fehlermeldung, die Sie erhalten, eine der folgenden Optionen aus:

• Wenn Sie die Fehlermeldung NON-COMPLIANT erhalten, führen Sie die Schritte im Abschnitt Aktualisieren Ihrer AWS-Konfigurationsregeln aus.
• Wenn der Berechtigungsfehler angezeigt wird, führen Sie die Schritte im Abschnitt Festlegen der richtigen Berechtigungen aus.

Hinweis: Die von AWS verwaltete Regel cloudformation-stack-drift-detection-check überprüft CloudFormation-Stacks mithilfe der DetectStackDrift-API auf Drift-Erkennung. Diese Regel hat sowohl einen periodischen als auch einen Triggertyp für Konfigurationsänderungen. Wenn die Drift-Erkennung fehlschlägt, erhalten Sie eine Fehlermeldung.

Lösung

Ihre AWS Config-Regeln aktualisieren

In der AWS Config-Konsole können Sie aus den folgenden Gründen die Fehlermeldung NON_COMPLIANT erhalten:

• Die Ressourcen in Ihrem CloudFormation-Stack unterstützen keine Drift-Erkennung. Sie erhalten einen Fehler als Anmerkung zur Ressource NON_COMPLIANT für Ihre AWS-Config-Regel. Beispielsweise erhalten Sie im AWS CloudTrail-Protokoll den Fehler „Drift-Erkennung wird für ResourceType nicht unterstützt“.
• Ihre AWS Config-Regel hängt von der Verfügbarkeit von DetectStackDrift ab. Sie erhalten eine Drosselung oder den Fehler „Rate überschritten“, weil AWS Config die Regel standardmäßig auf NON_COMPLIANT festlegt, wenn eine Drosselung auftritt.

Gehen Sie wie folgt vor, um den Fehler zu beheben, der dadurch entsteht, dass keine Drift-Erkennung unterstützt wird:

Den CloudFormation-Stack mit dem Status NON_COMPLIANT ignorieren. In diesem Szenario ist der Fehler falsch positiv. Weitere Informationen finden Sie unter Evaluierung Ihrer Ressourcen.

-oder-

Erstellen Sie eine benutzerdefinierte AWS Config-Regel, die eine Bestimmung enthält, um Ihre Stacks von Evaluierungen auszuschließen. Beispiele für AWS Config-Regeln finden Sie unter AWS-Config-Regelrepository und RDKLib.

Um den Fehler zu beheben, der sich aus der Verfügbarkeit von DetectStackDrift ergibt, gehen Sie wie folgt vor:

1.Evaluieren Sie Ihre AWS Config-Regel erneut.

Hinweis: Sie können beispielsweise die vertrauenswürdigen Berechtigungen config.amazonaws.com und die Richtlinienberechtigungen ReadOnlyAccess(AWS Managed) für den Amazon-Ressourcennamen (ARN) der Rolle anhängen, der im für die Regel benötigten Parameter cloudformationRoleArn bereitgestellt wird. Weitere Informationen finden Sie unter Überlegungen bei der Erkennung von Drift.

2.Führen Sie Drift-Erkennung auf Ihren CloudFormation-Stacks durch.

3.Führen Sie die Evaluierung anhand Ihrer AWS Config-Regel durch.

Die richtigen Berechtigungen festlegen

Sie erhalten einen Berechtigungsfehler, wenn die AWS Identity and Access Management (IAM)-Rolle für den erforderlichen cloudformationRoleArn-Parameter nicht über die DetectStackDrift-API, die DetectStackResourceDrift-API oder andere erforderliche Dienstberechtigungen verfügt.

Um diesen Fehler zu beheben, bearbeiten Sie die Vertrauensrichtlinie für Ihre IAM-Rolle. Sie müssen die Berechtigungen config.amazonaws.com und ReadOnlyAccess(AWS Managed) für cloudformationRoleArn anhängen.

Ähnliche Informationen

CloudFormation-Workshop:Labor zur Drift-Erkennung

---