As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Solução de problemas de pacotes de conformidade para o AWS Config
<a name="troubleshooting-conformance-pack"></a>

Verifique os problemas a seguir para ajudar a solucionar problemas que você possa encontrar ao usar pacotes de conformidade.

**Topics**
+ [Status de falha em um pacote de conformidade](#w2aac22c41b7)
+ [Regras pendentes em um pacote de conformidade](#w2aac22c41b9)

## Status de falha em um pacote de conformidade
<a name="w2aac22c41b7"></a>

Se você receber um erro indicando que o pacote de conformidade falhou durante a criação, a atualização ou a exclusão, verifique o status do pacote de conformidade.

```
aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1
```

Você deve ver saída semelhante ao seguinte:

```
"ConformancePackStatusDetails": [
    {
        "ConformancePackName": "ConformancePackName",
        "ConformancePackId": "ConformancePackId",
        "ConformancePackArn": "ConformancePackArn",
        "ConformancePackState": "CREATE_FAILED",
        "StackArn": "CloudFormation stackArn",
        "ConformancePackStatusReason": "Failure Reason",
        "LastUpdateRequestedTime": 1573865201.619,
        "LastUpdateCompletedTime": 1573864244.653
    }
]
```

Verifique o **ConformancePackStatusReason** para obter informações sobre a falha. 

**When the stackArn is present in the response (Quando o stackArn está presente na resposta**

Se a mensagem de erro não estiver clara ou se a falha for por causa de um erro interno, acesse o console do CloudFormation e faça o seguinte:

1. Procure o **stackArn** da saída.

1. Escolha a guia **Eventos** da pilha do CloudFormation e verifique se há eventos com falha.

   O motivo do status indica por que o pacote de conformidade falhou.

**When the stackArn is not present in the response (Quando o stackArn não está presente na resposta**

Se você receber uma falha ao criar um pacote de conformidade, mas o stackArn não estiver presente na resposta do status, o possível motivo é que houve falha na criação da pilha e o CloudFormation reverteu e a excluiu. Acesse o console do CloudFormation e procure pilhas que estão em um estado **Excluído**. A pilha com falha pode estar disponível lá. A pilha do CloudFormation contém o nome do pacote de conformidade. Se você encontrar a pilha com falha, escolha a guia **Eventos** da pilha do CloudFormation e verifique se há eventos com falha.

Se nenhuma dessas etapas funcionou e se o motivo da falha for um erro interno do serviço, tente executar a operação novamente ou entre em contato com a [Central do AWS Support](https://console.aws.amazon.com/support/home#/).

## Regras pendentes em um pacote de conformidade
<a name="w2aac22c41b9"></a>

A implantação de um pacote de conformidade envolve a criação de uma pilha do AWS CloudFormation subjacente em segundo plano para implantar as regras no modelo do pacote de conformidade. Essas são [regras vinculadas ao serviço](https://docs.aws.amazon.com/config/latest/developerguide/service-linked-awsconfig-rules.html) e não podem ser atualizadas ou excluídas fora do pacote de conformidade.

Se você fizer alterações na pilha subjacente do CloudFormation, isso resultará em uma situação em que o pacote de conformidade e suas regras se tornarão não gerenciáveis. Essas regras não gerenciáveis são *regras pendentes*.

**Alterne entre a pilha do CloudFormation e o pacote de conformidade**

É possível atualizar os nomes das regras em um modelo de pacote de conformidade diretamente do console do CloudFormation. Se você atualizar o modelo diretamente do console do CloudFormation, isso não atualizará o pacote de conformidade implantado.

Esse desvio cria uma regra pendente. Se tentar excluir a regra do pacote de conformidade, você receberá um erro semelhante ao seguinte:

```
"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID: my-request-ID; Proxy: null)".
```

Se tentar excluir o pacote de conformidade, a regra pendente não poderá ser excluída e você receberá um erro semelhante ao seguinte:

```
"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource: my-dangling-rule
```

Para resolver esse problema, siga as seguintes etapas:

1. Exclua a pilha. Para obter mais informações, consulte [Exclusão de uma pilha no console do CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) no *Guia do usuário do CloudFormation*.

1. Exclua o pacote de conformidade usando o console do AWS Config ou usando a [API DeleteConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConformancePack.html). Se for um pacote de conformidade organizacional e você estiver usando a conta de gerenciamento ou de administrador delegado, use a API [DeleteOrganizationConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteOrganizationConformancePack.html).

1. Entre em contato com a [Central do AWS Support](https://console.aws.amazon.com/support/home#/) com o nome do recurso da Amazon (ARN) das regras pendentes no pacote de conformidade para ajudar a limpar sua conta.

Para evitar esse problema, lembre-se destas práticas recomendadas:
+ Nunca faça atualizações diretas na pilha do CloudFormation de um pacote de conformidade. 
+ Nunca tente fazer alterações que criem um desvio entre o pacote de conformidade e sua pilha subjacente do CloudFormation.
+ A [função vinculada ao serviço (SLR) dos pacotes de conformidade](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-ConfigConformsServiceRolePolicy) não pode ser modificada. Verifique se os recursos que você está atualizando fazem parte da política de permissões da SLR.

**Pilha do CloudFormation excluída para um pacote de conformidade**

A menos que haja um desvio entre a pilha do CloudFormation e o pacote de conformidade, nunca é recomendável excluir regras em um pacote de conformidade ou em sua pilha do CloudFormation diretamente do console do CloudFormation.

Para corrigir esse problema, entre em contato com a [Central do AWS Support](https://console.aws.amazon.com/support/home#/) com o nome do recurso da Amazon (ARN) das regras pendentes no pacote de conformidade para ajudar a limpar sua conta.

Para evitar esse problema, lembre-se destas práticas recomendadas:
+ Nunca exclua a pilha do CloudFormation subjacente para obter um pacote de conformidade.
+ Exclua os pacotes de conformidade usando a API [DeleteConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConformancePack.html). Se for um pacote de conformidade organizacional e você estiver usando a conta de gerenciamento ou de administrador delegado, use a API [DeleteOrganizationConformancePack](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteOrganizationConformancePack.html).