Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Solución de problemas en paquetes de conformidad para AWS Config
Compruebe los siguientes elementos para solucionar los problemas que puedan surgir al utilizar los paquetes de conformidad.
Estado fallido de un paquete de conformidad
Si aparece un error que indica que el paquete de conformidad no se pudo crear, actualizar o eliminar correctamente, puede comprobar el estado del paquete de conformidad.
aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1
Debería ver un resultado similar a este.
"ConformancePackStatusDetails": [ { "ConformancePackName": "ConformancePackName", "ConformancePackId": "ConformancePackId", "ConformancePackArn": "ConformancePackArn", "ConformancePackState": "CREATE_FAILED", "StackArn": "CloudFormation stackArn", "ConformancePackStatusReason": "Failure Reason", "LastUpdateRequestedTime": 1573865201.619, "LastUpdateCompletedTime": 1573864244.653 } ]
Consulte ConformancePackStatusReason para obtener más información sobre el error.
Cuando el valor de stackArn está presente en la respuesta
Si el mensaje de error no está claro o si el error es interno, vaya a la consola de CloudFormation y haga lo siguiente:
-
Busque el valor de stackArn en la salida.
-
Seleccione la pestaña Eventos de la pila de CloudFormation y consulte los eventos con errores.
El motivo del estado indica por qué se produjeron errores en el paquete de conformidad.
Cuando el valor de stackArn no está presente en la respuesta
Si recibe un error mientras crea el paquete de conformidad, pero el valor de stackArn no está presente en la respuesta de estado, lo más probable es que el error se produjera al crear la pila y que CloudFormation la haya revertido y eliminado. Vaya a la consola de CloudFormation y busque pilas que tengan el estado Eliminado. Es posible que la pila errónea esté disponible allí. La pila de CloudFormation contiene el nombre del paquete de conformidad. Si encuentra la pila con errores, elija la pestaña Eventos de la pila de CloudFormation y compruebe si hay eventos con errores.
Si ninguno de los pasos anteriores funciona y el motivo es un error de servicio interno, intente repetir la operación o póngase en contacto con el Centro de AWS Support
Reglas colgantes en un paquete de conformidad
La implementación de un paquete de conformidad implica crear una pila de AWS CloudFormation subyacente en segundo plano para implementar las reglas en la plantilla del paquete de conformidad. Estas reglas son reglas vinculadas a un servicio y no se pueden actualizar ni eliminar fuera del paquete de conformidad.
Si hace cambios en la pila de CloudFormation subyacente, se produce una situación en la que el paquete de conformidad y sus reglas se vuelven inadministrables. Estas reglas inadministrables se denominan reglas colgantes.
Desviación entre la pila de CloudFormation y el paquete de conformidad
Puede actualizar los nombres de las reglas en una plantilla de paquete de conformidad directamente desde la consola de CloudFormation. Si actualiza la plantilla directamente desde la consola de CloudFormation, el paquete de conformidad implementado no se actualizará.
Esta desviación crea una regla colgante. Si intenta eliminar la regla del paquete de conformidad, recibirá un error similar al siguiente:
"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID:my-request-ID; Proxy: null)".
Si intenta eliminar la regla del paquete de conformidad, la regla colgante no se podrá eliminar y recibirá un error similar al siguiente:
"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource:my-dangling-rule
Para solucionar este problema, siga estos pasos:
Elimine la pila. Para obtener más información, consulte Eliminar una pila de la consola de CloudFormation en la Guía del usuario de CloudFormation.
Elimine el paquete de conformidad mediante la consola de AWS Config o mediante la API DeleteConformancePack. Si se trata de un paquete de conformidad organizativo y utiliza la cuenta de administración o de administrador delegado, use la API DeleteOrganizationConformancePack.
Póngase en contacto con el Centro de AWS Support
, con el nombre de recurso de Amazon (ARN) de las reglas colgantes del paquete de conformidad, a fin de recibir asistencia para limpiar la cuenta.
Para evitar este problema, recuerde estas prácticas recomendadas:
No actualice nunca directamente la pila de CloudFormation de un paquete de conformidad.
Nunca intente realizar cambios que generen desviaciones entre el paquete de conformidad y su pila subyacente en CloudFormation.
El rol vinculado a un servicio (SLR) de los paquetes de conformidad no se puede modificar. Compruebe que los recursos que va a actualizar formen parte de la política de permisos del SLR.
Pila de CloudFormation eliminada para un paquete de conformidad
A menos que haya diferencias entre la pila de CloudFormation y el paquete de conformidad, nunca es recomendable eliminar las reglas de un paquete de conformidad, o de su pila de CloudFormation, directamente desde la consola de CloudFormation.
Para resolver este problema, póngase en contacto con el Centro de AWS Support
Para evitar este problema, recuerde estas prácticas recomendadas:
No elimine nunca la pila de CloudFormation subyacente para un paquete de conformidad.
Elimine los paquetes de conformidad mediante la API DeleteConformancePack. Si se trata de un paquete de conformidad organizativo y utiliza la cuenta de administración o de administrador delegado, use la API DeleteOrganizationConformancePack.
