Wie behebe ich Berechtigungsfehler mit der automatischen Behebung für die AWS-Config-Regel s3-bucket-logging-enabled?

Kurzbeschreibung

Die AWS-Konfigurationsregel s3-bucket-logging-enabled verwendet das AWS Systems Manager Automation-Dokument AWS-Configures3BucketLogging, um nicht konforme Ressourcen zu korrigieren. Der Systems Manager-Service muss in der Vertrauensrichtlinie für Automatisierungsrollen unter Verwendung von AWS Identity and Access Management (IAM) zugelassen sein, die als AutomationAssumeRole-Parameter übergeben wird. Außerdem muss die Automatisierungsrolle über PutBucketLogging-Berechtigungen verfügen, und der Amazon S3-Ziel-Bucket muss zum Speichern von Protokollen konfiguriert sein.

Behebung

Eine detailliertere Fehlermeldung erhalten Sie, wenn Sie den Befehl describe-remediation-execution-status (AWS CLI) der AWS-Befehlszeilenschnittstelle (AWS CLI) ausführen. Folgen Sie dann diesen Anweisungen, um die Fehlermeldung zu beheben. Weitere Informationen finden Sie unter Wie kann ich fehlgeschlagene Korrekturausführungen in AWS Config beheben?

**Wichtig:**Bevor Sie beginnen, stellen Sie sicher, dass Sie die AWS-CLI installiert und konfiguriert haben. Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS CLI verwenden.

„Der Schritt schlägt fehl, wenn es sich um die Aktion Ausführen/Abbrechen handelt. Beim Aufrufen des Vorgangs PutBucketLogging ist ein Fehler aufgetreten (malformedXML): Das von Ihnen bereitgestellte XML war nicht wohlgeformt oder wurde nicht anhand unseres veröffentlichten Schemas validiert. Weitere Diagnosedetails finden Sie im Leitfaden zur Automation Sercive-Fehlerbehebung“.

Informationen zur Behebung dieser Fehlermeldung finden Sie unter Warum ist die automatische Korrekturmaßnahme von AWS Config für das SSM-Dokument aws-Configures3BucketLogging mit dem Fehler „(malformedXML)“ beim Aufrufen der PutBucketLogging-API fehlgeschlagen?

„Der Schritt schlägt fehl, wenn es sich um die Aktion Ausführen/Abbrechen handelt. Beim Aufrufen des Vorgangs PutBucketLogging ist ein Fehler aufgetreten (accessDenied): Zugriff verweigert. Weitere Diagnosedetails finden Sie im Leitfaden zur Automation Service-Fehlerbehebung.“

Dieser Fehler tritt auf, weil die Rolle AutomationAssumeRole nicht berechtigt ist, die PutBucketLogging-API für die nicht konformen S3-Buckets aufzurufen. Sie können die folgende Beispielrichtlinie verwenden, um der Rolle den Aufruf der PutBucketLogging-API zu gestatten:

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "s3:PutBucketLogging",
            "Resource": [
                            "arn:aws:s3:::<BUCKET_NAME_1>",
                            "arn:aws:s3:::<BUCKET_NAME_2>",
                            "arn:aws:s3:::<BUCKET_NAME_3>"
                         ]
             }
           ]
}

**Hinweis:**Wenn Sie möchten, dass die Wiederherstellung für alle Buckets in einer AWS-Region erfolgt, beschränken Sie die Berechtigung der Rolle auf eine bestimmte Region, indem Sie den Bedingungsschlüssel aws:RequestedRegion verwenden.

„Ungültige Ausführungsparameter wurden an Systems Automation gesendet. Die definierte Übernahmerolle kann nicht übernommen werden.“

Dieser Fehler tritt auf, weil die IAM-Rolle AutomationAssumeRole nicht vom Systems Manager Automation Service übernommen werden kann. Verwenden Sie die folgende Beispielrichtlinie, damit Systems Manager die IAM-Rolle übernehmen kann:

{
  "Version": "2012-10-17",
  "Statement": [
  {
      "Effect": "Allow",
      "Principal": {
      "Service": "ssm.amazonaws.com"
  },
   "Action": "sts:AssumeRole"
  }
 ]
}

Verwandte Informationen

Behebung nicht konformer AWS-Ressourcen anhand von AWS Config-Regeln

Amazon S3-Bucket-Konformität mithilfe der Funktion AWS Config Auto Remediation