Como soluciono erros da política de patch de configuração rápida no Systems Manager?

Breve descrição

Ao usar a Configuração rápida para criar uma política de patch para atualizar uma instância do Amazon EC2, é possível receber uma das seguintes mensagens de erro.

Instâncias Linux:

“Unable to download file from S3: s3://aws-quicksetup-patchpolicy-5433xxxxx141-xxxxx/baseline_overrides.json.
botocore.exceptions.ClientError: An error occurred (403) when calling the HeadObject operation: Forbidden
No IMDS credentials found on instance.failed to run commands: exit status 156”

Instâncias do Windows, na secção Erro da tarefa de patch:

“Invoke-PatchBaselineOperation: User: arn:aws:sts::5433xxxxx141:assumed-role/<IAM-Role>/i-xxxxxxxxxxxxxxxxx is not authorized to perform: s3:GetObject on resource:
“arn:aws:s3:::aws-quicksetup-patchpolicy-5433xxxxx141-xxxxx/baseline_overrides.json” with an explicit deny in a resource-based policy”

Esse problema ocorre quando uma instância do Amazon EC2 não consegue baixar a substituição da linha de base de um arquivo devido a problemas de permissão. Quando você cria uma política de patch no AWS Systems Manager, a Configuração Rápida cria automaticamente um bucket do Amazon Simple Storage Service (Amazon S3). A Configuração rápida também gera um arquivo de lista de referência de patches, como aws-quicksetup-patchpolicy-123456789012-abcde, dentro do bucket.

O Systems Manager usa o arquivo para determinar quais patches aplicar e como gerenciar as operações de patch em suas instâncias do EC2.

Resolução

Verifique as permissões para acessar o bucket do S3

Para aplicar uma tarefa de política de patch, você deve adicionar as permissões necessárias nas instâncias para acessar o bucket do Amazon S3.

Para fornecer permissões, execute uma das ações a seguir:

• Use seu próprio perfil de instância ou perfil de serviço com seus nós gerenciados em vez de um fornecido pela Configuração rápida.
• Use endpoints de uma nuvem privada virtual (VPC) para se conectar ao Systems Manager.

Analise a associação que o QuickSetup aplicou às suas instâncias

Verifique se você aplicou as associações corretas em suas instâncias.

No console do AWS Systems Manager, verifique se você aplicou as seguintes associações do Gerenciador de estados, um recurso do Systems Manager:

• Para instâncias do Amazon EC2: AWS-QuickSetup-PatchPolicy-AttachIAMToEc2Instance-[quick-setup-configuration-id]
• Para instâncias híbridas: AWS-QuickSetup-PatchPolicy-AttachIAMToHybridInstance-[quick-setup-configuration-id]

Conclua as etapas a seguir:

1. Abra o console do Systems Manager.
2. No painel de navegação, escolha Gerenciador de estados.
3. Na página Gerenciador de estados selecione sua associação.
4. Na página de detalhes da associação, em Histórico de execução, selecione a ID de execução mais recente.
5. Analise as metas de execução da associação para verificar se a associação foi executada na instância. Se a execução da associação não foi executada, você deve usar o atributo Aplicar associação agora para aplicar manualmente a associação à instância.
6. Para tentar executar novamente a política de patch, execute a associação do Gerenciador de estados AWS-QuickSetup-PatchPolicy-ScanForPatches-[quick-setup-configuration-id]. Se a execução não for bem-sucedida, revise a saída para determinar por que ela falhou. Em seguida, solucione o problema do Gerenciador de patches.

Informações relacionadas

Problema: “Invoke-PatchBaselineOperation: Erro Access Denied” ou erro “Unable to download file from S3” para baseline_overrides.json

Criação de uma política de patch