Диспетчерская вышка AWS перемещает учетную запись в новое организационное подразделение Сбой

Question

Диспетчерская вышка AWS перемещает учетную запись в новое организационное подразделение Сбой

Раньше у меня было OU, позволяющее вызывать x с учетными записями prod и ss, затем я создал новое подразделение, позволяющее y называть его y.

Теперь я пытаюсь переместить prod и ss из OU x в OU y. Однако это продолжает терпеть неудачу. Когда я пытаюсь повторно зарегистрировать OU y, чтобы убедиться, что это исправит, я получаю следующую ошибку:

      Check the external resources that apply to y
and its member accounts. Choose Register OU again after the external resources are repaired.

В какой-то момент я загрузил лист предварительной проверки, в котором есть следующая информация:

      Add the IAM user to the AWS Service Catalog portfolio before registering your OU.

Я зашел в каталог услуг и добавил себя в качестве пользователя IAM, но проблема все еще сохраняется. Как я могу это исправить?

0

amazon-web-services amazon-iam aws-organizations aws-service-catalog aws-control-tower

Источник

user11036847 18 июл '21 в 12:52

1 ответ

Другие вопросы по тегам amazon-web-services amazon-iam aws-organizations aws-service-catalog aws-control-tower

user4584659 18 авг '21 в 16:56 2021-08-18 16:56 · Answer 1 · 2021-08-18 16:56

Я получал ту же ошибку, и конечная причина заключалась в том, что я вошел в систему как root в учетной записи управления AWS. Это препятствовало регистрации OU в Control Tower и регистрации соответствующих учетных записей.

Я вышел из системы как root . И когда я снова вошел в систему, на этот раз используя учетную запись пользователя AWS с доступом администратора, я смог правильно зарегистрировать OU.

Есть и другие причины, по которым это может не получиться. В документации основные моменты AWS следующие « Общие причины для Провал Зачисление » в документации .

Вашему субъекту IAM может не хватать необходимых разрешений для подготовки учетной записи. Чтобы зарегистрировать существующую учетную запись, в регистрируемой учетной записи должна присутствовать роль AWSControlTowerExecution.

Сервис AWS Security Token Service (AWS STS) отключен в вашей учетной записи AWS в вашем домашнем регионе или в любом регионе, поддерживаемом AWS Control Tower.

Вы можете войти в учетную запись, которую необходимо добавить в портфель Account Factory в каталоге сервисов AWS. Учетная запись должна быть добавлена, прежде чем вы получите доступ к Account Factory, чтобы вы могли создать или зарегистрировать учетную запись в AWS Control Tower. Если соответствующий пользователь или роль не добавлены в портфолио фабрики учетных записей, вы получите сообщение об ошибке при попытке добавить учетную запись.

Вы можете войти в систему как root.

У учетной записи, которую вы пытаетесь зарегистрировать, могут быть остаточные настройки AWS Config. В частности, в учетной записи не должно быть регистратора конфигурации или канала доставки, поэтому их необходимо удалить через интерфейс командной строки AWS, прежде чем вы сможете зарегистрировать учетную запись.

Если учетная запись принадлежит другому подразделению с учетной записью управления, в том числе другому подразделению AWS Control Tower, необходимо закрыть учетную запись в текущем подразделении, прежде чем она сможет присоединиться к другому подразделению. Существующие ресурсы необходимо удалить в исходном подразделении. В противном случае зачисление не состоится.

Как я уже сказал, в моем случае это была четвертая причина: я вошел в систему как root.