Risoluzione dei problemi

Consultate i seguenti problemi per aiutarvi a risolvere i problemi che potreste incontrare quando utilizzate i conformance pack.

Stato di errore per un pacchetto di conformità

Se viene visualizzato un errore che indica che il pacchetto di conformità non è riuscito durante la creazione, l'aggiornamento o l'eliminazione, è possibile verificare lo stato del pacchetto di conformità.

aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1

Verrà visualizzato un output simile al seguente.

"ConformancePackStatusDetails": [
    {
        "ConformancePackName": "ConformancePackName",
        "ConformancePackId": "ConformancePackId",
        "ConformancePackArn": "ConformancePackArn",
        "ConformancePackState": "CREATE_FAILED",
        "StackArn": "CloudFormation stackArn",
        "ConformancePackStatusReason": "Failure Reason",
        "LastUpdateRequestedTime": 1573865201.619,
        "LastUpdateCompletedTime": 1573864244.653
    }
]

Verificare la presenza ConformancePackStatusReasondi informazioni sull'errore.

Quando stackArn è presente nella risposta

Se il messaggio di errore non è chiaro o se il malfunzionamento è dovuto a un errore interno, passa alla console AWS CloudFormation e procedi come segue:

1. Cerca il stackArndall'output.

2. Scegli la scheda Eventi dello CloudFormation stack e verifica la presenza di eventi non riusciti.

   Il motivo dello stato indica il motivo per cui il pacchetto di conformità non è riuscito.

Quando non stackArn è presente nella risposta

Se si riceve un errore durante la creazione di un pacchetto di conformità ma questo non stackArn è presente nella risposta allo stato, la possibile ragione è che la creazione dello stack non è riuscita, è stata CloudFormation ripristinata ed è stato eliminato lo stack. Vai alla CloudFormation console e cerca gli stack che si trovano in uno stato Eliminato. Lo stack non riuscito potrebbe essere disponibile lì. Lo CloudFormation stack contiene il nome del pacchetto di conformità. Se trovi lo stack fallito, scegli la scheda Eventi dello CloudFormation stack e verifica la presenza di eventi non riusciti.

Se nessuno di questi passaggi ha funzionato e se il motivo dell'errore è un errore interno del servizio, riprova a eseguire l'operazione o contatta il AWS Support Centro.

Regole diverse in un pacchetto di conformità

L'implementazione di un pacchetto di conformità implica la creazione di uno AWS CloudFormation stack sottostante in background per distribuire le regole nel modello del pacchetto di conformità. Queste regole sono regole collegate ai servizi e non possono essere aggiornate o eliminate al di fuori del conformance pack.

Se si apportano modifiche allo CloudFormation stack sottostante, si verifica una situazione in cui il Conformance Pack e le relative regole diventano ingestibili. Queste regole ingestibili sono regole sospese.

Vai alla deriva tra lo CloudFormation stack e il pacchetto di conformità

È possibile aggiornare i nomi delle regole in un modello di conformance pack direttamente dalla console. CloudFormation Se si aggiorna il modello direttamente dalla CloudFormation console, ciò non aggiorna il pacchetto di conformità distribuito.

Questa deriva crea una regola sospesa. Se si tenta di eliminare la regola dal Conformance Pack, viene visualizzato un errore simile al seguente:

"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID: my-request-ID; Proxy: null)".

Se si tenta di eliminare il conformance pack, la regola pendente non può essere eliminata e viene visualizzato un errore simile al seguente:

"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource: my-dangling-rule

Per risolvere questo problema, procedi nel seguente modo:

1. Eliminare lo stack. Per ulteriori informazioni, consulta Eliminazione di uno stack sulla AWS CloudFormation console nella Guida per l'CloudFormation utente.

2. Eliminare il pacchetto di conformità utilizzando la AWS Config console o utilizzando il. DeleteConformancePackAPI Se si tratta di un pacchetto di conformità organizzativo e si utilizza l'account di gestione o amministratore delegato, utilizzare il. DeleteOrganizationConformancePackAPI

3. Contatta il AWS Support Centro con l'Amazon Resource Name (ARN) delle regole pendenti nel pacchetto di conformità per aiutarti a ripulire il tuo account.

Per evitare questo problema, ricorda queste best practice:

• Non apportare mai aggiornamenti diretti allo CloudFormation stack di un pacchetto di conformità.

• Non cercate mai di apportare modifiche che creino deviazioni tra il pacchetto di conformità e lo stack sottostante. CloudFormation

• Il ruolo collegato al servizio (SLR) per i conformance pack non può essere modificato. Assicurati che le risorse che stai aggiornando facciano parte della politica di autorizzazione per. SLR

CloudFormation Stack eliminato per un pacchetto di conformità

A meno che non vi siano differenze tra lo CloudFormation stack e il conformance pack, non è mai consigliabile eliminare le regole in un conformance pack o nel relativo stack direttamente dalla console. CloudFormation CloudFormation

Per risolvere il problema, contatta il AWS Support Centro con l'Amazon Resource Name (ARN) delle regole pendenti nel pacchetto di conformità per aiutarti a ripulire il tuo account.

Per evitare questo problema, ricorda queste best practice:

• Non eliminare mai lo CloudFormation stack sottostante di un pacchetto di conformità.

• Eliminare i pacchetti di conformità utilizzando il. DeleteConformancePackAPI Se si tratta di un pacchetto di conformità organizzativa e si utilizza l'account di gestione o amministratore delegato, utilizzare il. DeleteOrganizationConformancePackAPI