Como faço para solucionar falhas nas ações de remediação no AWS Config?

Resolução

Siga estas instruções para solucionar a falha das ações de remediação usando a AWS Command Line Interface (AWS CLI) ou o histórico de eventos do AWS CloudTrail.

Observação: se você receber erros ao executar comandos da AWS CLI, verifique se está usando a versão mais recente da AWS CLI.

AWS CLI

1.    Execute o comando da AWS CLI describe-remediation-execution-status para obter uma mensagem de erro, o estado e a data e hora mais detalhados para etapas de ação de remediação semelhantes a:

aws configservice describe-remediation-execution-status \
     --config-rule-name example-rule \
     --region example-region \
     --resource-keys resourceType=example-resource-type,resourceId=example-resource-ID

Observação: substitua example-rule, example-region, example-resource-type e example-resource-ID pelo nome da regra, a região, o tipo de recurso e o ID do recurso da AWS Config.

2.    Você receberá uma saída semelhante a:

{
    "RemediationExecutionStatuses": [
        {
            "ResourceKey": {
                "resourceType": "AWS::EC2::Volume",
                "resourceId": "vol-0b399a24561582586"
            },
            "State": "FAILED",
            "StepDetails": [
                {
                    "Name": "createDocumentStack",
                    "State": "FAILED",
                    "ErrorMessage": "Automation Step Execution fails when it is creating a CloudFormation stack.
Get Exception from CreateStack API of cloudformation Service. Exception Message from CreateStack API:
[User: arn:aws:sts::xxxxx:assumed-role/config-remediation-sshpublic-role-zkga0ot3/config-remediation-sshpublic is not authorized to perform: cloudformation:CreateStack
on resource: arn:aws:cloudformation:eu-west-2:xxxxx:stack/DetachEBSVolumeStack2f6d3590-ea2c-424a-97ea-045749f07164/*
(Service: AmazonCloudFormation; Status Code: 403; Error Code: AccessDenied; Request ID: b8f41dd6-9020-11e9-897d-f9719db1a9e6)].
Please refer to Automation Service Troubleshooting Guide for more diagnosis details.",
                    "StartTime": 1560680582.675,
                    "StopTime": 1560680582.884
                },
                {
                    "Name": "detachVolume",
                    "State": "PENDING"
                },
                {
                    "Name": "deleteCloudFormationTemplate",
                    "State": "PENDING"
                }
            ],
            "InvocationTime": 1560680582.419,
            "LastUpdatedTime": 1560680583.67
        }
    ]
}

3.    Na lista StepDetails, anote a mensagem de erro e a causa da falha.

Histórico de eventos do CloudTrail

1.    Abra o console do AWS CloudTrail.

2.    Siga as instruções para visualizar eventos do CloudTrail no console do CloudTrail.

3.    A ação da API StartAutomationExecution é invocada quando o AWS Config inicia uma ação de remediação. Filtre o Nome do evento com a API StartAutomationExecution e, na página de detalhes do evento, copie o RequestID.

4.    Abra o console do AWS Systems Manager e escolha Automação no painel de navegação.

5.    Cole o **RequestID ** no campo de pesquisa Documento de automação.

6.    Em seguida, encontre a ação que a remediação executou. Verifique se o erro está relacionado às permissões do AWS Identity and Access Management (IAM), a problemas de sintaxe ou a parâmetros incorretos configurados na ação de remediação.

Informações relacionadas

Conceder permissões personalizadas para usuários do AWS Config

Como faço para solucionar problemas de mensagens de erro no console do AWS Config?

Exibir, atualizar e excluir regras (AWS CLI)

Como faço para resolver o erro “NoSuchRemediationConfigurationException” ou “unexpected internal error” ao tentar excluir uma ação de remediação no AWS Config?