故障診斷

請檢查下列問題，以協助疑難排解使用一致性套件時可能遇到的問題。

符合性套件的失敗狀態

如果您在建立、更新和刪除一致性套件時收到錯誤指出一致性套件失敗，您可以檢查一致性套件的狀態。

aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1

您應該會看到類似下列的輸出。

"ConformancePackStatusDetails": [
    {
        "ConformancePackName": "ConformancePackName",
        "ConformancePackId": "ConformancePackId",
        "ConformancePackArn": "ConformancePackArn",
        "ConformancePackState": "CREATE_FAILED",
        "StackArn": "CloudFormation stackArn",
        "ConformancePackStatusReason": "Failure Reason",
        "LastUpdateRequestedTime": 1573865201.619,
        "LastUpdateCompletedTime": 1573864244.653
    }
]

如需失敗ConformancePackStatusReason的相關資訊，請檢查。

當回 stackArn 應中存在時

如果錯誤訊息不清楚，或是失敗是由於內部錯誤造成，請移至 AWS CloudFormation 主控台並執行下列動作：

1. 從輸出stackArn中搜尋。

2. 選擇 CloudFormation 堆疊的 [事件] 索引標籤，並檢查失敗的事件。

   狀態原因指出一致性套件失敗的原因。

當回 stackArn 應中不存在時

如果您在建立一致性套件時收到失敗，但狀態回應中不存在，則可能的原因是堆疊建立失敗，而且還 CloudFormation 原並刪除堆疊。 stackArn 前往 CloudFormation 主控台並搜尋處於「已刪除」狀態的堆疊。該處可能有提供失敗的堆疊。 CloudFormation 堆疊包含一致性套件名稱。如果您找到失敗的堆疊，請選擇 CloudFormation 堆疊的 [事件] 索引標籤，並檢查失敗的事件。

如果這些步驟都無效，而且失敗原因是內部服務錯誤，請再次嘗試操作或聯絡中AWS Support 心。

符合性套件中的懸置規則

部署一致性套件涉及在背景中建立基礎 AWS CloudFormation 堆疊，以便在一致性套件範本中部署規則。這些規則是服務連結規則，無法在一致性套件之外更新或刪除。

如果您對基礎 CloudFormation 堆疊進行變更，這會導致一致性套件及其規則變得無法管理的情況。這些無法管理的規則是懸空的規則。

CloudFormation 堆棧和一致性包之間的漂移

您可以直接從主控台更新一致性套件範本中的規則名稱。 CloudFormation 如果您直接從 CloudFormation 主控台更新範本，則不會更新已部署的一致性套件。

此漂移會建立懸置規則。如果您嘗試從一致性套件刪除規則，您會收到類似下列內容的錯誤訊息：

"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID: my-request-ID; Proxy: null)".

如果您嘗試刪除一致性套件，則無法刪除懸置規則，且您會收到類似下列內容的錯誤訊息：

"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource: my-dangling-rule

若要修正此問題，請執行下列步驟：

1. 刪除堆疊 如需詳細資訊，請參閱《使用指南》中的〈刪除 AWS CloudFormation 主控台上的堆疊CloudFormation 〉。

2. 使用 AWS Config 主控台或使用刪除一致性套件。DeleteConformancePackAPI如果它是組織一致性套件，且您正在使用管理或委派的管理員帳戶，請使用. DeleteOrganizationConformancePackAPI

3. 使用符合性包AWS Support 中懸掛規則的 Amazon 資源名稱 (ARN) 與中心聯繫，以幫助清理您的帳戶。

若要避免此問題，請記住以下最佳做法：

• 切勿對一致性套件的 CloudFormation 堆疊進行任何直接更新。

• 切勿嘗試進行更改，從而在一致性包及其基礎 CloudFormation 堆棧之間造成漂移。

• 無法修改一致性套件的服務連結角色 (SLR)。請確定您正在更新的資源是的權限原則的一部分SLR。

已刪除一致性套件的 CloudFormation 堆疊

除非 CloudFormation 堆棧和一致性包之間存在漂移，否則不建議直接從控制台刪除一致性包或其 CloudFormation 堆棧中的規則。 CloudFormation

若要修正此問題，請使用符合性套件AWS Support 中懸置規則的 Amazon 資源名稱 (ARN) 與中心聯絡，以協助清理您的帳戶。

若要避免此問題，請記住以下最佳做法：

• 切勿刪除一致性套件的基礎 CloudFormation 堆疊。

• 使用刪除一致性套件。DeleteConformancePackAPI如果它是組織一致性套件，且您正在使用管理或委派的管理員帳戶，請使用. DeleteOrganizationConformancePackAPI