Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso

Como faço para solucionar falhas nas ações de remediação no AWS Config?

3 minuto de leitura
0

Eu segui as instruções para remediar recursos não compatíveis da AWS usando as regras do AWS Config. No entanto, a ação de remediação falhou com o erro “Action execution failed (details)”. Analisei os detalhes do erro, mas não há informações suficientes para solucionar o problema.

Resolução

Siga estas instruções para solucionar a falha das ações de remediação usando a AWS Command Line Interface (AWS CLI) ou o histórico de eventos do AWS CloudTrail.

Observação: se você receber erros ao executar comandos da AWS CLI, consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

AWS CLI

Para encontrar as informações de erro relacionadas à ação de remediação que falhou, conclua as seguintes etapas na AWS CLI:

  1. Para obter uma mensagem de erro mais detalhada, informações de estado e registros de data e hora das etapas da ação de remediação, execute o comando describe-remediation-execution-status da AWS CLI.
    Veja o exemplo a seguir:

    aws configservice describe-remediation-execution-status \
      --config-rule-name example-rule \
      --region example-region \
      --resource-keys resourceType=example-resource-type,resourceId=example-resource-ID

    Observação: substitua example-rule, example-region, example-resource-type e example-resource-ID pelo nome da regra, a região da AWS, o tipo de recurso e o ID do recurso da AWS Config.

  2. Revise a saída do comando.
    Veja o exemplo a seguir:

    {
      "RemediationExecutionStatuses": [
        {
          "InvocationTime": 1560680582.419,
          "LastUpdatedTime": 1560680583.67,
          "ResourceKey": {
            "resourceId": "vol-0b399a24561582586",
            "resourceType": "AWS::EC2::Volume"
          },
          "State": "FAILED",
          "StepDetails": [
            {
              "ErrorMessage": "Automation Step Execution fails when it is creating a CloudFormation stack.
    Get Exception from CreateStack API of cloudformation Service. Exception Message from CreateStack API:
    [User: arn:aws:sts::xxxxx:assumed-role/config-remediation-sshpublic-role-zkga0ot3/config-remediation-sshpublic is not authorized to perform: cloudformation:CreateStack on resource: arn:aws:cloudformation:eu-west-2:xxxxx:stack/DetachEBSVolumeStack2f6d3590-ea2c-424a-97ea-045749f07164/*
    (Service: AmazonCloudFormation; Status Code: 403; Error Code: AccessDenied; Request ID: b8f41dd6-9020-11e9-897d-f9719db1a9e6)].
    Please refer to Automation Service Troubleshooting Guide for more diagnosis details.",
              "Name": "createDocumentStack",
              "StartTime": 1560680582.675,
              "State": "FAILED",
              "StopTime": 1560680582.884
            },  
            {
              "Name": "detachVolume",
              "State": "PENDING"
            },
            {  
              "Name": "deleteCloudFormationTemplate",
              "State": "PENDING"
            }
          ]
        }
      ]
    }
  3. Na lista StepDetails, revise as informações da mensagem de erro.
    Observação: os carimbos de data/hora no erro estão no formato de hora de época. Para converter o carimbo de data/hora em UTC, use um conversor online gratuito, como o EpochConverter.

Histórico de eventos do CloudTrail

Para encontrar as informações de erro relacionadas à ação de correção que falhou, conclua as seguintes etapas nos consoles do CloudTrail e do AWS Systems Manager:

  1. Abra o console do CloudTrail.
  2. Siga as instruções em Viewing recent CloudTrail management events with the CloudTrail console.
  3. A ação da API StartAutomationExecution é invocada quando o AWS Config inicia uma ação de remediação. Na página Histórico de eventos, filtre pelo atributo de pesquisa do Nome do evento e, em seguida, pesquise StartAutomationExecution.
  4. Escolha o evento de API relacionado.
  5. Na página de detalhes do evento, no JSON do evento, copie o valor do RequestID.
  6. Abra o console do Systems Manager.
  7. No painel de navegação, escolha Automação.
  8. Na página Execuções de automação, filtre pela propriedade ID de execução e, em seguida, pesquise o valor do requestID copiado na etapa 4.
  9. Revise as informações na página de detalhes da execução. Determine se os detalhes da falha estão relacionados às permissões do AWS Identity and Access Management (IAM), problemas de sintaxe ou parâmetros incorretos configurados na ação de remediação. Use esses detalhes para corrigir seus recursos não compatíveis.

Informações relacionadas

Como posso solucionar problemas de mensagens de erro no console do AWS Config?

Visualize, atualize ou adicione e exclua regras (AWS CLI)

AWS OFICIAL
AWS OFICIALAtualizada há 8 meses