View a markdown version of this page

Resolución de problemas - Respuesta de seguridad automatizada en AWS
PutS3 falla BucketPolicyDeny¿Cómo deshabilitar la solución

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Resolución de problemas

La resolución de problemas conocidos proporciona instrucciones para mitigar los errores conocidos. Si estas instrucciones no resuelven el problema, Contact AWS Support proporciona instrucciones para abrir un caso de AWS Support para esta solución.

PutS3 falla BucketPolicyDeny

Controles asociados: AWS FSBP v1.0.0 S3.6, NIST.800-53.r5 CA-9 (1), NiST.800-53.r5 CM-2

ProblemaBucketPolicyDeny : el PuTs3 con el siguiente error:

Unable to create an explicit deny statement for {bucket_name}.

Si los principios de todas las políticas del segmento de destino son «*», la solución no puede añadir la política de denegación al grupo de destino, ya que bloquearía todas las acciones del grupo de destino para todos los principales.

Solución: modifique la política de compartimentos para permitir acciones en cuentas específicas en lugar de utilizar los principios «*» y restrinja las acciones denegadas.

¿Cómo deshabilitar la solución

En caso de que se produzca un incidente, es posible que necesite deshabilitar la solución sin eliminar ninguna parte de la infraestructura. Estos escenarios detallan cómo deshabilitar los diferentes componentes de la solución.

Escenario 1: deshabilitar la corrección automática para un solo control

  1. En la cuenta de administrador, diríjase a la CloudFormation consola de AWS.

  2. Localice la pila de administración y consulte su pestaña de resultados.

  3. Copia el valor de la RemediationConfigurationDynamoDBTable salida.

  4. Vaya a la consola de DynamoDB y abra la tabla de configuración de correcciones.

  5. Seleccione Explore Table Items (Explorar elementos de la tabla).

  6. En Escanear o consultar elementos, seleccione Consulta.

  7. Introduzca el ID de control (por ejemploLambda.1) en el campo Clave de partición: ControlID y haga clic en Ejecutar.

  8. Seleccione el elemento devuelto y, a continuación, haga clic en Acciones > Editar elemento.

  9. Cambie el valor del automatedRemediationEnabled atributo a Falso.

  10. Haga clic en Guardar y cerrar.

Escenario 2: deshabilitar la corrección automática para todos los controles

  1. Siga los pasos 1 a 5 del escenario 1 para acceder a los elementos de la tabla de configuración de la remediación.

  2. En Escanear o consultar elementos, seleccione Escanear para ver todos los controles.

  3. Para cada control que esté automatedRemediationEnabled establecido en True, seleccione el elemento y haga clic en Acciones > Editar elemento.

  4. Cambie el valor del automatedRemediationEnabled atributo a Falso y haga clic en Guardar y cerrar.

  5. Repita este procedimiento para todos los controles que desee deshabilitar.

Escenario 3: deshabilitar la corrección manual para una cuenta

  1. Vaya a la consola de EventBridge .

  2. Selecciona Reglas en la barra lateral.

  3. Seleccione el bus de eventos predeterminado y busque. Remediate_with_ASR_CustomAction

  4. Seleccione la regla y haga clic en el botón Desactivar.