本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Config 规则疑难解答
如果您无法删除 Amazon Config 规则或收到类似于以下内容的错误,请检查以下问题进行故障排除:“出现错误” Amazon Config。
Amazon Identity and Access Management (IAM) 实体拥有 DeleteConfigRule该 API 的权限
使用 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择用户或角色。
-
选择您用来删除 Amazon Config 规则的用户或角色,然后展开权限策略。
-
在权限选项卡中,选择 JSON。
-
在 JSON 预览窗格中,确认 IAM 策略是否允许使用该 DeleteConfigRuleAPI 的权限。
IAM 实体权限边界允许 DeleteConfigRule API
如果 IAM 实体有权限边界,请确保它允许 DeleteConfigRule API 的权限。
使用 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择用户或角色。
-
选择您用来删除 Amazon Config 规则的用户或角色,展开权限边界,然后选择 JSON。
-
在 JSON 预览窗格中,确认 IAM 策略是否允许使用该 DeleteConfigRuleAPI 的权限。
警告
IAM 用户具有长期凭证,这会带来安全风险。为帮助减轻这种风险,我们建议仅向这些用户提供执行任务所需的权限,并在不再需要这些用户时将其移除。
服务控制策略 (SCP) 允许 API DeleteConfigRule
-
https://console.aws.amazon.com/organizations/使用组织的管理账户打开 Amazon Organizations 控制台。
-
在账户名中,选择 Amazon Web Services 账户。
-
在策略中,展开服务控制策略并记下附加的 SCP 策略。
-
在页面的顶部,选择策略。
-
选择策略,然后选择查看详细信息。
-
在 JSON 预览窗格中,确认策略允许使用 DeleteConfigRuleAPI。
该规则是服务相关规则
启用安全标准后, Amazon Security Hub 会为您创建与服务相关的规则。您无法使用删除这些与服务相关的规则 Amazon Config,并且删除按钮显示为灰色。要移除服务相关规则,请参阅《Security Hub 用户指南》中的禁用安全标准。
未进行任何修正操作
您无法删除正在执行修正操作的 Amazon Config 规则。按照步骤删除与该规则关联的修正操作。然后,再次尝试删除该规则。
重要
仅删除处于失败或成功状态的修正操作。