Como resolvo erros de permissão com a correção automática da regra do AWS Config s3-bucket-logging-enabled?
Configurei a regra do AWS Config s3-bucket-logging-enabled para corrigir automaticamente buckets não compatíveis do Amazon Simple Storage Service (Amazon S3). No entanto, a execução da remediação falhou e o console do AWS Config exibe o erro de status da ação “Falha na execução da ação” (detalhes).” Abri a página Detalhes, mas não há informações suficientes para solucionar o problema.
Breve descrição
A regra do AWS Config s3-bucket-logging-enabled usa o documento AWS Systems Manager Automation AWS-ConfigureS3BucketLogging para remediar recursos não compatíveis. O serviço Systems Manager deve ser permitido na política de confiança da função Automation usando o AWS Identity and Access Management (IAM), que é passado como o parâmetro AutomationAssumeRole. Além disso, a função de automação deve ter permissões PutBucketLogging, e o bucket de destino do Amazon S3 deve estar configurado para armazenar logs.
Resolução
Para receber uma mensagem de erro mais detalhada, execute o comando da AWS Command Line Interface (AWS CLI) describe-remediation-execution-status. Em seguida, siga as instruções abaixo para solucionar a mensagem de erro. Para mais informações, consulte How can I troubleshoot failed remediation executions in AWS Config? (Como posso solucionar falhas nas execuções de remediação no AWS Config?)
Importante: antes de começar, lembre-se de instalar e configurar a AWS CLI. Se você receber erros ao executar comandos da AWS CLI, verifique se está usando a versão mais recente da AWS CLI.
“A etapa falha quando é a ação de execução/cancelamento. Ocorreu um erro (MalformedXML) ao chamar a operação PutBucketLogging: O XML que você forneceu não estava bem formado ou não foi validado em relação ao nosso esquema publicado. Consulte o Guia de solução de problemas do Automation Service para obter mais detalhes sobre o diagnóstico”.
Para resolver essa mensagem de erro, consulte Why did the AWS Config auto remediation action for the SSM document AWS-ConfigureS3BucketLogging fail with the error "(MalformedXML)" when calling the PutBucketLogging API? (Por que a ação de remediação automática do AWS Config para o documento SSM AWS-configures3BucketLogging falhou com o erro “(MalformedXML)” ao chamar a API PutBucketLogging?)
“A etapa falha quando é a ação de execução/cancelamento. Ocorreu um erro (AccessDenied) ao chamar a operação PutBucketLogging: Access Denied. Consulte o Guia de solução de problemas do Automation Service para mais detalhes sobre o diagnóstico.”
Esse erro ocorre porque a função AutomationAssumeRole não tem permissões para chamar a API PutBucketLogging nos buckets do S3 não compatíveis. Você pode usar o exemplo de política a seguir para permitir que a função chame a API PutBucketLogging:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:PutBucketLogging", "Resource": [ "arn:aws:s3:::<BUCKET_NAME_1>", "arn:aws:s3:::<BUCKET_NAME_2>", "arn:aws:s3:::<BUCKET_NAME_3>" ] } ] }
Observação: se você precisar que a remediação ocorra em todos os buckets em uma região da AWS, limite a permissão da função a uma região específica usando a chave de condição aws:RequestedRegion.
“Parâmetros de execução inválidos enviados para a automação de sistemas. A função de suposição definida não pode ser assumida.”
Esse erro ocorre porque o perfil AutomationAssumeRole do IAM não pode ser assumida pelo serviço Systems Manager Automation. Use o exemplo de política a seguir para permitir que o Systems Manager assuma a perfil do IAM:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Informações relacionadas
Remediar recursos não compatíveis da AWS por meio das regras do AWS Config
Conformidade com buckets do Amazon S3 usando o recurso de remediação automática do AWS Config
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 3 anos