Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

AWS Config 규칙 s3-bucket-logging-enabled에 대한 자동 수정으로 “Action execution failed” 오류를 해결하려면 어떻게 해야 합니까?

2분 분량

AWS-ConfigureS3BucketLogging 런북을 사용하여 미준수 리소스를 수정하려고 합니다. 하지만 자동 수정은 “Action execution failed” 오류와 함께 실패합니다.

간략한 설명

AWS 구성 규칙 s3-bucket-logging-enabled는 대상 Amazon Simple Storage Service(Amazon S3) 버킷에 대해 로깅이 켜져 있는지 확인합니다. 그런 다음 AWS-ConfigureS3BucketLogging AWS System Manager 자동화 런북이 규정을 준수하지 않는 리소스를 수정합니다.

AWS-ConfigureS3BucketLogging 런북에는 다음 권한이 있어야 합니다.

자동화 서비스 역할에 대해 AWS Identity and Access Management(IAM)에서 구성된 신뢰 정책입니다. 이 정보는 AutomationAssumeRole 파라미터로 전달됩니다.
로그를 저장하도록 구성된 S3 버킷에 대한 PutBucketLogging 권한이 있습니다.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령 실행 시 오류가 발생하는 경우, AWS CLI 오류 문제 해결을 참고하세요. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.

Action execution failed 오류를 해결하려면 describe-remediation-execution-status AWS CLI 명령을 실행하여 자세한 오류 메시지를 검토해야 합니다.

자세한 내용을 보려면 AWS Config에서 실패한 수정 작업 문제를 해결하려면 어떻게 해야 합니까?를 참조하세요.

액세스 거부됨

다음과 같은 오류가 발생합니다.

"Step fails when it is Execute/Cancelling action. An error occurred (AccessDenied) when calling the PutBucketLogging operation: Access Denied. Please refer to Automation Service Troubleshooting Guide for more diagnosis details."

이 오류는 AutomationAssumeRole 역할에 비규격 S3 버킷에서 PutBucketLogging API를 호출할 수 있는 권한이 없기 때문에 발생합니다. 다음 예제 정책을 사용하여 역할이 PutBucketLogging API를 호출하도록 허용하세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:PutBucketLogging",
      "Resource": [
        "arn:aws:s3:::<BUCKET_NAME_1>",
        "arn:aws:s3:::<BUCKET_NAME_2>",
        "arn:aws:s3:::<BUCKET_NAME_3>"
      ]
    }auto
  ]
}

**참고:**AWS 리전의 모든 S3 버킷에 업데이트를 적용해야 하는 경우, aws:RequestedRegion 조건 키를 사용하여 역할의 권한을 제한하세요.

잘못된 실행 파라미터

다음과 같은 오류가 발생합니다.

"Invalid execution parameters sent to Systems Automation. The defined assume role is unable to be assumed."

이 오류는 시스템 관리자 자동화가 AutomationAssumeRole 역할을 맡을 수 없기 때문에 발생합니다. 다음 예제 정책을 사용하여 Systems Manager가 IAM 역할을 맡도록 허용하세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
         "Service": "ssm.amazonaws.com"
       },
       "Action": "sts:AssumeRole"
     }
  ]
}

AWS Config 규칙 s3-bucket-logging-enabled에 대한 자동 수정으로 “Action execution failed” 오류를 해결하려면 어떻게 해야 합니까?

간략한 설명

해결 방법

액세스 거부됨

잘못된 실행 파라미터

관련 정보

관련 콘텐츠