AWS Config 配置报错

已于 2024-10-30 09:41:30 修改
阅读量356 收藏 5
点赞数 2
CC 4.0 BY-SA版权
文章标签: aws 云计算
于 2024-06-17 09:30:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_74856273/article/details/139731566 
Insufficient delivery policy to s3 bucket: config-bucket-xxxxxxxxxxxx, unable to write to bucket, provided s3 key prefix is 'null', provided kms key is 'null'.

Config 会报这个错误主要原因有三个:存储桶权限不足、没有有效的 S3 存储桶前缀、KMS 密钥权限不足(看场景去判断,然后按照以下方法进行解决)

存储桶权限问题

AWS Config 服务需要以下权限才能将数据写入 S3 存储桶:

  • s3:PutObject:将配置记录写入存储桶。

  • s3:GetBucketAcl:获取存储桶的访问控制列表(ACL)。

如果存储桶策略没有包含这些权限,AWS Config 将无法写入数据。例如,以下是一个允许 AWS Config 写入数据的存储桶策略:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::(bucket-name)/*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::(bucket-name)"
    }
  ]
}

 S3 存储桶前缀问题

在 AWS Config 配置过程中,如果没有指定有效的 S3 前缀(用于存储配置记录的路径),AWS Config 将无法确定数据存储的位置。因此需要确保配置时提供了一个有效的 S3 前缀。但是这个是可选项,如果不是这个原因导致无法成功配置就可以不管

 KMS 密钥配置问题

如果 S3 存储桶使用了 KMS 加密,那么 AWS Config 服务需要使用该 KMS 密钥来加密和解密数据。如果 KMS 密钥未正确配置或缺失,Config将无法写入加密的数据。确保 KMS 密钥策略允许 AWS Config 使用该密钥。例如:

{
  "Version": "2012-10-17",
  "Id": "key-policy",
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "Service": "config.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

江遇16
关注
AWS Config(一)---S3
daiqinge的博客
12-12 2032
1. 在aws config页面,新建一个config 2. 新建rules (1) 点击add rules,然后输入cloudtrail,接着选择cloudtrail-enabled save保存 (2) 接着再 add rule,这次点击向右翻页的按钮,选择desired-instance-type 在下一页中输入value为t2.micro save保存 ...
AWS Serverless CLI命令参考1--Config Credentials
JessicaWin
06-11 787
基本命令 serverless config credentials --provider provider --key key --secret secret 命令参数 --provider or -p The provider (in this case aws). Required. --key or -k The aws_access_key_id. Required. --secret or -s The aws_secret_access_key. Required. --profil
AWS Config新增跨账户、跨区域数据聚合功能
weixin_33709219的博客
07-09 189
近日,Amazon Web Services(AWS)增加了跨多个账户和/或区域聚合由AWS Config Rules生成的合规数据的功能,实现了AWS资源的集中审计和治理。新增的聚合仪表板视图展示了组织中不合规的规则。然后,用户可以下钻,查看有关违反规则的资源的详细信息。\\AWS Config是一项服务,它持续监控所支持的AWS资源类型,并记录作为配置项的各种属性的时点视图。记录下的配置历史和...
AWS认证系列:考点解析 - cloud trail,cloud watch,aws config
忍者算法的博客
06-22 828
服务名监控对象记录内容是否实时触发是否做合规判断CloudTrail人(API 调用)谁做了什么操作❌ 事后查阅✅(可配合 Config)CloudWatch系统(资源指标)CPU、内存、错误率、日志等✅ 支持报警触发❌AWS Config资产状态资源配置变化 & 是否合规✅ 可检测不合规✅ 合规规则支持。
AWS Config
weixin_30466953的博客
07-24 672
什么是 AWS ConfigAWS Config 提供了关于您的 AWS 账户中 AWS 资源配置的详细信息。这些信息包括资源之间的关联方式以及资源以前的配置方式,让您了解资源的配置和关系如何随着的时间的推移而更改。 AWS资源是您可以在 AWS 中使用的一种实体,例如 Amazon Elastic Compute Cloud (EC2) 实例、Amazon Elastic ...
.aws config_使用aws config作为代码的合规性
weixin_26716079的博客
10-09 630
.aws configIf you’re looking for someone to help you with auditing and compliance of your AWS resources, someone to help you record configurations and changes over time, someone to let you know every ...
74. AWS Config
JessicaWin
02-14 409
AWS Config provides a detailed view of the configuration of AWS resources in your AWS account. This includes how the resources are related to one another and how they were configured in the past so that you can see how the configurations and relationships
AWS EKS ingress报错, Warning FailedBuildModel 62s (x15 over 2m26s) ingress Failed build model due to couldn't auto-discover subnets: unable to resolve at least one subnet (0 match VPC and tags: [kubernetes.io/role/elb])
最新发布
07-02
[^2]:关于子网标签的说明:https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.4/guide/controller/config/#subnet-auto-discovery相关问题:1.如何安装和配置AWSLoad Balancer Controller?2.如何...
aws glue配置读取本地kafka数据源
zhaojiew的学习笔记
05-25 657
glue读取本地kafka数据源
AWS配置Cisco ASAv AnyConnect
liuqianglong_liu的博客
02-13 3190
这里演示了如何在AWS上搭建思科的SSLVPN,用来解决员工远程办公的需求。文章需要你有一定的AWS和SSLVPN基础。 个人博客地址:https://liuqianglong.com文章视频地址:https://space.bilibili.com/408773931 1、实验简介 最近一直在研究思科防火墙的SSLVPN,用来解决员工远程办公的问题。传统上一般使用ASA55XX系列的硬件防火墙做SSLVPN,使用ASAv与使用硬件防火墙功能特性几乎没有区别。ASAv在vSphere和AW..
Serverless报错「Function execution took 60003ms」:冷启动优化与VPC连接器的配置
shejizuopin的博客
05-15 935
核心治理原则冷启动分级治理fill:#333;color:#333;color:#333;fill:none;关键业务函数预留实例+智能预热VPC连接器+私有链路非关键业务函数NAT网关+代码优化按需实例+自动扩缩容VPC连接器分级配置函数类型连接器类型带宽(Mbps)弹性IP数量数据库访问专用连接器1000+2+缓存访问共享连接器5001内部API调用无连接器(直连)
[AWS][安全] 通过 AWS Config 服务检查配置是否合规
栗子哥的云计算博客
06-19 647
AWS Config 可以提供关于您的 AWS 账户中的 AWS 资源配置的详细信息,您可以查看准备 修改的资源如何与其他资源相关联,并评估更改所产生的影响。同时利用 AWS Config 的 预定义规则,您也可以监控资源是否合规,比如是否开启了 AWS CloudTrail,RDS 是否开启了备份,IAM 用户的密码策略是否符合要求等。本次示例中,我们将用 AWS Config 来 检查 AWS 账号内是否都开启了 S3 存储桶日志记录。 在 AWS Console 界面,点击左上角”服务”----“Co
AWS Config(二)---EC2
daiqinge的博客
12-19 1443
本文任务: 创建一个config,选择其中一个EC2的AMI做为标杆,其他EC2若是不符合这个标杆的配置,那么会显示为noncompliance。如果经过你的更改,符合了,你可以在config页面选择 re-evaluate 1. AWS Config页面新建一个config 2. AWS EC2 (1)AWS EC2页面对现有的instance创建image (2)然后选择左侧导航栏的...
aws appconfig 理解和使用appconfig对应用程序进行动态配置
热门推荐
zhaojiew的学习笔记
03-07 3万+
aws appconfig 理解和使用appconfig对应用程序进行动态配置
AWS Config:概述、优势以及如何开始?
ai18013044985的博客
06-16 788
AWS Config 是一项用于评估、审计和记录 AWS 资源配置的服务。它会持续跟踪 AWS 资源的配置状态及其变更情况,并提供详细的历史记录。通过这项服务,用户不仅可以了解资源的当前状态,还能掌握其随时间的变化过程,并自动根据预设规则判断资源是否符合组织的配置规范。简而言之,AWS Config 让您全面掌握 AWS 资源的“前世今生”,助力合规审核、安全分析和变更追踪。AWS Config 是一项强大且必要的服务,适用于所有希望实现资源可视化、配置审计、合规追踪的 AWS 用户。快速识别配置偏差。
AWS Config资源模式项目教程
gitblog_00839的博客
09-09 852
AWS Config资源模式项目教程 1. 项目介绍 AWS Config资源模式项目(aws-config-resource-schema)是由AWS实验室(awslabs)开发的一个开源项目。该项目定义了AWS Config资源配置项(Configuration Items, CIs)的属性和类型。这些资源模式文件帮助开发者在执行高级资源查询和处理CI数据时,更准确地理解和使用AWS Conf...
跨域啥的还是要后端来做!
sinat_41770242的博客
08-23 1304
package com.zcw.conf; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import o...
AWS 专题学习 P12 (CloudWatch、CloudTrail、AWS Config)
weixin_40815218的博客
01-27 1544
Amazon EventBridge(前身为 CloudWatch Events)专题内容总览和系列博客目录。
一文讲透亚马逊云命令行使用
改变世界,改变自己
04-07 2532
覆盖任何其他位置的设置,例如 --region、–output 和 --profile 参数,比如在没有显示指定region的情况下,可以使用—region 指定区域,使用-- profile 指定配置文件中其他的身份。输入之后会提示输入AK/SK,region以及输入的格式信息,对于输出格式一般使用json,也可以选择text,table,yaml,yaml-stream ,比如在后边加上–output table。现在都使用V2版本的命令行工具,可以从官网下载最新的二进制安装包。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值