Comment résoudre les erreurs d'autorisation avec la correction automatique pour la règle AWS Config s3-bucket-logging-enabled ?

Lecture de 3 minute(s)

J' ai configuré la règle AWS Config s3-bucket-logging-enabled pour corriger automatiquement les compartiments Amazon Simple Storage Service (Amazon S3) non conformes. Toutefois, l'exécution de la correction a échoué et la console AWS Config a affiché le message d'erreur de statut d'action suivant : « Échec de l'exécution de l'action (détails) ». J'ai ouvert la page Détails, mais elle ne contient pas suffisamment d'informations pour résoudre le problème.

Brève description

La règle AWS Config s3-bucket-logging-enabled utilise le document AWS Systems Manager Automation AWS-ConfigureS3BucketLogging pour corriger les ressources non conformes. Le service Systems Manager doit être autorisé dans la stratégie d'approbation du rôle d’automatisation à l'aide d'AWS Identity and Access Management (IAM), qui est transmise en tant que paramètre AutomationAssumerole. En outre, le rôle d’automatisation doit disposer des autorisations PutBucketLogging et le compartiment Amazon S3 cible doit être configuré pour stocker les journaux.

Résolution

Pour obtenir un message d'erreur plus détaillé, exécutez la commande describe-remediation-execution-status depuis l’interface de ligne de commande AWS (AWS CLI). Suivez ensuite ces instructions pour résoudre le message d’erreur. Pour en savoir plus, consultez la section Comment résoudre les problèmes d'échec d'exécution de correction dans AWS Config ?

Important : Avant de commencer, assurez-vous d’avoir installé et configuré AWS CLI. Si vous recevez des erreurs lors de l'exécution des commandes AWS CLI, assurez-vous que vous utilisez la version la plus récente d'AWS CLI.

« L'étape échoue lorsqu'il s'agit de l'action Exécuter/Annuler. Une erreur s'est produite (MalformedXML) au moment d'appeler l'opération PutBucketLogging : le fichier XML que vous avez fourni n'était pas correctement formé ou n'a pas été validé par rapport à notre schéma publié. Pour plus de détails sur le diagnostic, reportez-vous au guide de résolution des problèmes liés à l'automatisation des services. »

Pour résoudre ce message d’erreur, consultez la section Pourquoi l'action de correction automatique AWS Config du document SSM AWS-ConfigureS3BucketLogging a-t-elle échoué avec l'erreur « (MalformedXML) » lors de l'appel de l'API PutBucketLogging API ?

« L'étape échoue lorsqu'il s'agit de l'action Exécuter/Annuler. Une erreur s'est produite (AccessDenied) lors de l'appel de l'opération PutBucketLogging : Accès refusé. Pour plus de détails sur le diagnostic, reportez-vous au guide de résolution des problèmes liés à l'automatisation des services. »

Cette erreur se produit car le rôle AutomationAssumeRole n'a pas les autorisations pour appeler l'API PutBucketLogging sur les compartiments S3 non conformes. Vous pouvez utiliser l'exemple de stratégie suivant pour autoriser le rôle à appeler l'API PutBucketLogging :

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "s3:PutBucketLogging",
            "Resource": [
                            "arn:aws:s3:::<BUCKET_NAME_1>",
                            "arn:aws:s3:::<BUCKET_NAME_2>",
                            "arn:aws:s3:::<BUCKET_NAME_3>"
                         ]
             }
           ]
}

Remarque : Si vous avez besoin que la correction se produise sur tous les compartiments d'une région AWS, limitez l'autorisation du rôle à une région spécifique à l'aide de la clé de condition aws:RequestedRegion.

« Paramètres d'exécution non valides envoyés à Systems Automation. Le rôle défini ne peut pas être assumé. »

Cette erreur se produit, car le rôle IAM AutomationAssumeRole ne peut pas être assumé par le service Systems Manager Automation. Utilisez l'exemple de stratégie suivant pour autoriser Systems Manager à assumer le rôle IAM :

{
  "Version": "2012-10-17",
  "Statement": [
  {
      "Effect": "Allow",
      "Principal": {
      "Service": "ssm.amazonaws.com"
  },
   "Action": "sts:AssumeRole"
  }
 ]
}

Informations connexes

Correction des ressources AWS non conformes à l’aide des règles AWS Config

Conformité du compartiment Amazon S3 à l'aide de la fonctionnalité AWS Config Auto Remediation

Sujets

Gestion et gouvernance

Balises

AWS Config

Langue

Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

DynamoDB metrics sur la quantité d'item
rePost-User-0177378
demandé il y a 3 mois
Impossible de stop mon instance SageMaker
rePost-User-9472894
demandé il y a 3 mois
elastic disaster recovery - Authenticate with service
Réponse acceptée
rePost-User-5960561
demandé il y a 4 mois
Problème de facturation
rePost-User-4394153
demandé il y a un jour
Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a un mois
Comment résoudre les erreurs avec des limitations pour la requête avancée AWS Config ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je résoudre l'erreur « InvalidPermission.NotFound » avec la règle AWS Config vpc-sg-open-only-to-authorized-ports et le document Systems Manager Automation AWS-DisablePublicAccessForSecurityGroup ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment résoudre l'erreur « NoSuchRemediationConfigurationException » ou « erreur interne inattendue » lors d'une tentative de suppression d'une action de correction dans AWS Config ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi l'action de correction automatique AWS Config du document SSM AWS-ConfigureS3BucketLogging échoue et affiche l'erreur « (MalformedXML) » lors de l'appel de l'API PutBucketLogging ?
AWS OFFICIELA mis à jour il y a 3 ans