Por que minha regra do AWS Config não está funcionando?

4 minuto de leitura

Minha regra do AWS Config não está funcionando. Como posso solucionar este problema?

Resolução

Vários problemas podem fazer com que as regras gerenciadas do AWS Config não funcionem, incluindo permissões, escopo de recursos ou itens de alteração de configuração. Para resolver as regras do AWS Config que não funcionam, tente as seguintes etapas de solução de problemas.

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando a versão mais recente da AWS CLI.

Solução de problemas gerais das regras do AWS Config

Verifique se seu gravador de configuração está registrando todos os tipos de recursos que sua regra exige (por exemplo, AWS::EC2::Instance).
Abra o console do AWS Config e, em seguida, escolha Regras no painel de navegação. Se o campo Conformidade indicar Nenhum resultado relatado ou Sem recursos no escopo, consulte a etapa 8 de Configuração e ativação de uma regra gerenciada pela AWS.
Se um tempo de avaliação não for relatado e indicar Avaliações falharam, revise a chamada da API PutEvaluations nos logs do AWS CloudTrail para ver se há erros relatados.
Abra o console do AWS CloudTrail e escolha Histórico de eventos no painel de navegação. Para filtrar os registros, escolha Origem do evento no menu suspenso e digite config.amazonaws.com no campo de pesquisa. Examine os resultados do log filtrado para ver se há erros de Acesso negado.
Para acionar periodicamente as regras do AWS Config, acesse o painel Histórico de eventos do console do CloudTrail para verificar as APIs de serviço relevantes no recurso.
Analise os cronogramas específicos de configuração e conformidade de recursos. Confirme se um item de configuração foi gerado para refletir a alteração nas regras do AWS Config com um gatilho baseado na alteração da configuração.
Confirme se os requisitos de permissões do perfil do gravador foram atendidos. Essas credenciais são usadas para descrever a configuração do recurso e a conformidade de publicação usando a API PutEvaluations.
Execute o seguinte comando da AWS CLI. Substitua ConfigRuleName pelo nome da regra do AWS Config e substitua RegionID pela sua região da AWS. Na saída, revise o valor LastErrorMessage.

aws configservice describe-config-rule-evaluation-status --config-rule-names ConfigRuleName --region RegionID

Solução de problemas com regras personalizadas do AWS Config

Para regras personalizadas do AWS Config, além das etapas gerais de solução de problemas anteriores, verifique o seguinte:

Uma mensagem de erro “Não é possível executar a função do Lambda” indica que o serviço AWS Config não tem permissão para invocar a função do AWS Lambda. Para resolver esse erro, execute o comando a seguir para conceder as permissões necessárias. Substitua a function_name pelo nome da função do Lambda, RegionID pela região da AWS e o AWS-accountID pelo ID da sua conta da AWS:

aws lambda add-permission --function-name function_name --region RegionID --statement-id allow_config --action lambda:InvokeFunction --principal config.amazonaws.com --source-account AWS-accountID

Veja a seguir um exemplo de política de recursos da função do Lambda:

{
    "Version": "2012-10-17",
    "Id": "default",
    "Statement": [
        {
            "Sid": "allow_config",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": "lambda:InvokeFunction",
            "Resource": "lambda-function-arn",
            "Condition": {
                "StringEquals": {
                    "AWS:SourceAccount": "AWS-accountID"
                }
            }
        }
    ]
}

Identifique o evento PutEvaluations que tem um valor de Nome de usuário correspondente ao nome da função do Lambda. Revise a errorMessage para obter detalhes.

Se o perfil que a função do Lambda usa para executar o código não estiver autorizada a executar config:PutEvaluations, adicione as permissões ao perfil especificado.
Se as permissões estiverem corretas, revise o código da função do Lambda em busca de exceções levantadas. Para mais detalhes, analise os registros no grupo de registros do Amazon CloudWatch (/aws/lambda/FunctionName) associado à função do Lambda. Adicione uma instrução de impressão no código para gerar mais logs de depuração.

Informações relacionadas

Por que não consigo criar ou excluir regras de configuração da organização?

Tópicos

Gestão e governança

Conteúdo relevante

Por que meu relatório de credenciais do IAM mostra que minhas regras gerenciadas do AWS Config não estão em conformidade?
AWS OFICIALAtualizada há um ano
Por que minha regra do AWS Config com o status de tags obrigatórias está presa em “Avaliando”?
AWS OFICIALAtualizada há 3 anos
Por que a regra que criei para o AWS WAF não está funcionando?
AWS OFICIALAtualizada há 2 anos
Como resolvo erros de detecção de desvios no CloudFormation com minha regra “cloudformation-stack-drift-detection-check” gerenciada pela AWS para o AWS Config?
AWS OFICIALAtualizada há 3 anos