Fehlerbehebung - AWS Control Tower
Start der Landing Zone fehlgeschlagenFehler „Landezone ist nicht aktuell“New Account Provisioning Failed (Bereitstellung eines neuen Kontos fehlgeschlagen)Ein bestehendes Konto konnte nicht angemeldet werdenEin Account Factory-Konto konnte nicht aktualisiert werdenDie Landing Zone konnte nicht aktualisiert werdenFehler: Erwähnter Fehler AWS ConfigFehler: Keine Startpfade gefundenFehler „Unzureichende Berechtigungen“ erhaltenDetektivkontrollen wirken sich nicht auf Konten ausDer Fehler „Rate überschritten“ wurde von der AWS Organizations API zurückgegebenFehler beim Verschieben eines Account Factory Factory-Kontos direkt von einer AWS Control Tower Tower-Landezone in eine andere AWS Control Tower Tower-LandezoneAWS Support

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung

Wenn Sie bei der Verwendung von AWS Control Tower auf Probleme stoßen, können Sie die folgenden Informationen verwenden, um diese gemäß unseren Best Practices zu lösen. Wenn die Probleme, auf die Sie stoßen, nicht in den Rahmen der folgenden Informationen fallen oder wenn sie nach dem Versuch, sie zu lösen, weiterhin bestehen, wenden Sie sich an den AWS Support.

Start der Landing Zone fehlgeschlagen

Häufige Ursachen für Fehler beim Starten der Landing Zone:

  • Fehlende Antwort auf eine Bestätigungs-E-Mail-Nachricht.

  • AWS CloudFormation StackSet Fehlschlag.

Bestätigungs-E-Mail-Nachrichten: Wenn Ihr Verwaltungskonto weniger als eine Stunde alt ist, können Probleme bei der Erstellung der zusätzlichen Konten auftreten.

Maßnahme

Wenn dieses Problem auftritt, überprüfen Sie Ihre E-Mail. Möglicherweise wurde Ihnen eine Bestätigungs-E-Mail gesendet, dass auf Antwort gewartet wird. Alternativ empfehlen wir, eine Stunde zu warten und es dann erneut zu versuchen. Wenn das Problem weiterhin besteht, wenden Sie sich an den AWS Support.

Fehlgeschlagen StackSets: Eine weitere mögliche Ursache für einen Fehlschlag beim Start der landing zone ist ein AWS CloudFormation StackSet Ausfall. AWS Security Token Service (STS) -Regionen müssen im Verwaltungskonto für alle AWS Regionen aktiviert sein, die AWS Control Tower verwaltet, damit die Bereitstellung erfolgreich sein kann. Andernfalls können Stack-Sets nicht gestartet werden.

Maßnahme

Stellen Sie sicher, dass Sie alle erforderlichen AWS Security Token Service (STS) -Endpunktregionen aktivieren, bevor Sie AWS Control Tower starten.

Eine Liste der von AWS-Regionen AWS Control Tower unterstützten Programme finden Sie unterSo arbeiten AWS Regionen mit AWS Control Tower.

Fehler „Landezone ist nicht aktuell“

Wenn Sie Ihre landing zone in letzter Zeit nicht aktualisiert haben, erhalten Sie möglicherweise eine Fehlermeldung, wenn Sie versuchen, wieder Zugriff auf AWS Control Tower zu erhalten. Möglicherweise wird eine Fehlermeldung ähnlich der folgenden angezeigt:

Unable to access Control Tower

Ihr Konto war zu lange inaktiv. Aufgrund von Inaktivität müssen Sie Ihre landing zone für den Zugriff auf AWS Control Tower aktualisieren.

Ihr Landezone-Update schlägt jedoch möglicherweise fehl.

Zu ergreifende Schritte

Melden Sie sich beim Verwaltungskonto Ihrer Organisation an und melden Sie sich als Root-Benutzer an. Ihr IAM-Benutzer oder Benutzer im IAM Identity Center muss über AWS Control Tower Tower-Administratorrechte verfügen und Teil der AWSControlTowerAdminsGruppe sein. Versuchen Sie dann erneut, das Update durchzuführen.

New Account Provisioning Failed (Bereitstellung eines neuen Kontos fehlgeschlagen)

Wenn dieses Problem auftritt, überprüfen Sie diese häufigen Ursachen.

Wenn Sie das Formular zur Kontobereitstellung ausgefüllt haben, verfügen Sie möglicherweise über Folgendes:

  • angegebene TagOptions,

  • aktivierte SNS-Benachrichtigungen,

  • aktivierte bereitgestellte Produktbenachrichtigungen.

Versuchen Sie erneut, Ihr Konto bereitzustellen, ohne irgendwelche dieser Optionen anzugeben. Weitere Informationen finden Sie unter Konten mit AWS Service Catalog Account Factory bereitstellen .

Andere häufige Fehlerursachen:

  • Wenn Sie einen bereitgestellten Produktplan erstellt haben (um Ressourcenänderungen anzuzeigen), behält Ihre Kontobereitstellung möglicherweise unbegrenzt lange den Status In progress (In Bearbeitung) bei.

  • Die Erstellung eines neuen Kontos in Account Factory schlägt fehl, während andere AWS Control Tower Tower-Konfigurationsänderungen im Gange sind. Während beispielsweise ein Prozess zum Hinzufügen eines Steuerelements zu einer Organisationseinheit ausgeführt wird, zeigt Account Factory eine Fehlermeldung an, wenn Sie versuchen, ein Konto bereitzustellen.

Um den Status einer vorherigen Aktion in AWS Control Tower zu überprüfen

  • Navigieren Sie zu AWS CloudFormation > StackSets

  • Überprüfen Sie jedes Stack-Set, das sich auf AWS Control Tower bezieht (Präfix: "AWSControlTower„)

  • Suchen Sie nach AWS CloudFormation StackSets Vorgängen, die noch laufen.

Wenn die Kontobereitstellung länger als eine Stunde dauert, beenden Sie den Bereitstellungsprozess am besten und versuchen Sie es erneut.

Ein bestehendes Konto konnte nicht angemeldet werden

Wenn Sie einmal versuchen, ein vorhandenes AWS Konto zu registrieren, und diese Registrierung schlägt fehl, wenn Sie es ein zweites Mal versuchen, weist Sie die Fehlermeldung möglicherweise darauf hin, dass das Stack-Set vorhanden ist. Um fortzufahren, müssen Sie das bereitgestellte Produkt in Account Factory entfernen.

Wenn der Grund für den ersten Anmeldungsfehler darin bestand, dass Sie vergessen haben, die AWSControlTowerExecution-Rolle in dem Konto im Voraus zu erstellen, fordert die Fehlermeldung Sie korrekterweise auf, die Rolle zu erstellen. Wenn Sie jedoch versuchen, die Rolle zu erstellen, erhalten Sie wahrscheinlich eine weitere Fehlermeldung, die besagt, dass AWS Control Tower die Rolle nicht erstellen konnte. Dieser Fehler tritt auf, weil der Prozess teilweise abgeschlossen wurde.

In diesem Fall müssen Sie zwei Wiederherstellungsschritte durchführen, bevor Sie mit der Anmeldung Ihres bestehenden Kontos fortfahren können. Zunächst müssen Sie das von Account Factory bereitgestellte Produkt über die AWS Service Catalog Konsole kündigen. Als Nächstes müssen Sie die AWS Organizations Konsole verwenden, um das Konto manuell aus der Organisationseinheit und zurück in das Stammverzeichnis zu verschieben. Danach erstellen Sie die AWSControlTowerExecution-Rolle in dem Konto und füllen dann das Formular Enroll account (Konto anmelden) erneut aus.

Eine weitere mögliche Ursache für einen Registrierungsfehler ist, dass das Konto über vorhandene AWS Konfigurationsressourcen verfügt. In diesem Fall finden Sie unter Registrieren von Konten mit vorhandenen AWS Config Ressourcen Anweisungen, wie Sie Ihre vorhandenen Ressourcen ändern können.

Ein Account Factory-Konto konnte nicht aktualisiert werden

Wenn sich ein Konto in einem inkonsistenten Zustand befindet, kann es nicht erfolgreich über Account Factory oder AWS Service Catalog aktualisiert werden.

Fall 1: Möglicherweise wird eine Fehlermeldung ähnlich der folgenden angezeigt:

AWS Control Tower could not baseline VPC in the managed account because of existing resource dependencies.

Häufiger Grund: AWS Control Tower entfernt bei der ersten Bereitstellung immer die AWS Standard-VPC. Um eine AWS Standard-VPC in einem Konto zu haben, müssen Sie sie nach der Kontoerstellung hinzufügen. AWS Control Tower verfügt über eine eigene Standard-VPC, die die AWS Standard-VPC ersetzt, es sei denn, Sie richten Account Factory so ein, wie es Ihnen in der Anleitung gezeigt wird — sodass AWS Control Tower überhaupt keine VPC bereitstellt. Dann hat das Konto keine VPC. Sie müssten die AWS Standard-VPC erneut hinzufügen, wenn Sie diese verwenden möchten.

AWS Control Tower unterstützt die AWS Standard-VPC jedoch nicht. Die Bereitstellung eines Kontos führt dazu, dass das Konto in einen Tainted-Status wechselt. Wenn es sich in diesem Status befindet, können Sie das Konto nicht aktualisieren. AWS Service Catalog

Maßnahme: Sie müssen die hinzugefügte Standard-VPC löschen, dann können Sie das Konto aktualisieren.

Anmerkung

Dieser Tainted Status verursacht ein Folgeproblem: Ein Konto, das nicht aktualisiert wird, verhindert möglicherweise die Aktivierung von Steuerelementen in der Organisationseinheit, zu der es gehört.

Fall 2: Möglicherweise wird eine Fehlermeldung ähnlich der folgenden angezeigt:

AWS Control Tower detects that your enrolled account has been moved to a new organizational unit.

Häufiger Grund: Sie haben versucht, ein Konto von einer registrierten Organisationseinheit in eine andere zu verschieben, aber die alten AWS Config-Regeln bleiben bestehen. Das Konto befindet sich in einem inkonsistenten Zustand.

Zu ergreifende Maßnahmen:

Falls die Kontoverschiebung beabsichtigt war:

  • Kündigen Sie das Konto im Service Catalog.

  • Registrieren Sie es erneut.

  • Kontext/Auswirkung: Die bereitgestellten AWS Konfigurationsregeln entsprechen nicht der Konfiguration, die von der Ziel-OU vorgegeben wird.

  • AWS Die Konfigurationsregeln können von der vorherigen Organisationseinheit übernommen werden, was zu unbeabsichtigten Ausgaben führen kann.

  • Versuche, das Konto erneut zu registrieren oder zu aktualisieren, schlagen aufgrund von Konflikten bei der Benennung von Ressourcen fehl.

Falls die Kontoverschiebung unbeabsichtigt war:

  • Setze das Konto auf seine ursprüngliche Organisationseinheit zurück.

  • Aktualisieren Sie das Konto aus dem Service Catalog.

  • Geben Sie in den Startparametern die Organisationseinheit ein, in der sich das Konto ursprünglich befand.

  • Kontext/Auswirkung: Wenn das Konto nicht in seine ursprüngliche Organisationseinheit zurückversetzt wird, entspricht sein Status nicht den Kontrollen, die von der neuen Organisationseinheit, in der es sich befindet, vorgegeben werden.

  • Die Aktualisierung eines Kontos ist keine gültige Abhilfemaßnahme, da dadurch die AWS Config Regeln, die mit der vorherigen Organisationseinheit verknüpft waren, nicht gelöscht werden.

Die Landing Zone konnte nicht aktualisiert werden

AWS Control Tower führt kein Rollback zu einer früheren landing zone Zone-Version durch, wenn ein Update fehlschlägt. Möglicherweise befindet sich Ihre landing zone in einem unbestimmten Zustand. Wenn ja, wenden Sie sich an den Support AWS .

Aktualisierungen der Landezone können aus verschiedenen Gründen fehlschlagen.

  • Die Voraussetzungen wurden nicht erfüllt

  • AWS Config In bestimmten Konten sind Ressourcen vorhanden

  • Geschlossene Konten existieren

Die Voraussetzungen sind nicht erfüllt

Ein Landezone-Update muss dieselben Voraussetzungen erfüllen wie ein Landezonen-Setup. Lesen Sie sich vor dem Update die Prüfungen vor dem Start durch.

AWS Config Ressourcen sind in Sicherheits-OU-Konten vorhanden

Fügen Sie Ihren Audit - und Log-Archivkonten keine AWS Config Ressourcen hinzu. Die Aktualisierung der landing zone kann nicht abgeschlossen werden, wenn diese Ressourcen vorhanden sind. Diese Einschränkungen ähneln denen für die Registrierung eines Kontos oder die erstmalige Einrichtung einer landing zone. Weitere Informationen finden Sie unter Konten registrieren, für die bereits Ressourcen vorhanden AWS Config sind.

Geschlossene Konten sind vorhanden

Wenn sich ein Konto im Status „Geschlossen“ oder Gesperrt“ befindet, kann ein Problem auftreten, wenn Sie versuchen, Ihre landing zone zu aktualisieren. Sie müssen das bereitgestellte Produkt auf jedem geschlossenen Konto löschen, bevor Sie ein Update für die landing zone durchführen.

Auf der Seite mit dem AWS Service Catalog bereitgestellten Produkt wird möglicherweise eine Fehlermeldung ähnlich der folgenden angezeigt:

AWSControlTowerExecution role can't be assumed on the account.

Häufiger Grund: Sie haben ein Konto gesperrt, ohne das bereitgestellte Produkt zu löschen.

Zu ergreifende Maßnahme: Wenn Sie diesen Fehler sehen, haben Sie zwei Möglichkeiten:

  1. Wenden Sie sich an den AWS Support und öffnen Sie das Konto erneut, löschen Sie das bereitgestellte Produkt und schließen Sie das Konto erneut.

  2. Entfernen Sie die Ressourcen aus dem StackSets , die aufgrund der Kontoschließung verwaist sind. (Diese Option ist nur verfügbar, wenn sie Instanzen mit dem Status Aktuell StackSets haben, die Sie nicht entfernen werden.)

Gehen Sie für jedes geschlossene Konto wie folgt vor StackSets, um die Ressourcen aus dem zu entfernen:

  • Gehen Sie in jeden der AWS Control Tower StackSets und entfernen Sie die StackInstances aus jeder Region für das Konto, das geschlossen wurde.

  • WICHTIG: Wählen Sie die Option Stack beibehalten, damit nur die Stack-Instances StackSet entfernt werden. StackSet kann vom geschlossenen Konto aus keine Rolle übernehmen. Daher schlägt es fehl, wenn versucht wird, die AWSControlTowerExecution Rolle anzunehmen, was zu der Fehlermeldung führt, die Sie erhalten haben.

Fehler: Erwähnter Fehler AWS Config

Wenn in einer von AWS Control Tower unterstützten AWS Region aktiviert AWS Config ist, erhalten Sie möglicherweise eine Fehlermeldung, weil eine Vorabprüfung fehlgeschlagen ist. Die Meldung scheint das Problem möglicherweise nicht angemessen zu erklären, was auf ein grundlegendes Verhalten von AWS Config zurückzuführen ist.

Möglicherweise erhalten Sie eine Fehlermeldung, ähnlich einer der folgenden:

  • AWS Control Tower cannot create an AWS Config delivery channel because one already exists. To continue, delete the existing delivery channel and try again
.

  • AWS Control Tower cannot create an AWS Config configuration recorder because one already exists. To continue, delete the existing delivery channel and try again
.

Häufige Ursache: Wenn der AWS Config Dienst für ein AWS Konto aktiviert ist, erstellt er einen Konfigurationsrekorder und einen Bereitstellungskanal mit einer Standardbenennung. Wenn Sie den AWS Config Dienst über die Konsole deaktivieren, werden weder der Konfigurationsrekorder noch der Bereitstellungskanal gelöscht. Sie müssen sie über die CLI löschen oder für die Verwendung in AWS Control Tower ändern. Wenn der AWS Config Service in einer der von AWS Control Tower unterstützten Regionen aktiviert ist, kann dies zu diesem Fehler führen.

Wenn das Konto bereits über AWS Config-Ressourcen verfügt, finden Sie unter Konten mit vorhandenen AWS Config Ressourcen registrieren Anweisungen, wie Sie Ihre vorhandenen Ressourcen ändern können.

Zu ergreifende Aktion: Löschen Sie den Konfigurationsrecorder und den Bereitstellungskanal in allen unterstützten Regionen. Das Deaktivieren von AWS Config reicht nicht aus, der Konfigurationsrekorder und der Lieferkanal müssen über die CLI gelöscht werden. Nachdem Sie den Konfigurationsrekorder und den Lieferkanal aus der CLI gelöscht haben, können Sie erneut versuchen, AWS Control Tower zu starten und das Konto zu registrieren.

Wenn Sie gerade dabei sind, ein bereitgestelltes Produkt bereitzustellen, müssen Sie das bereitgestellte Produkt löschen, bevor Sie es erneut versuchen. Andernfalls wird möglicherweise eine Fehlermeldung ähnlich der folgenden angezeigt:

  • An error occurred (InvalidParametersException) when calling the ProvisionProduct operation: A stack named Stackname already exists.

StacknameGibt in der Nachricht den Namen des Stacks an.

Im Folgenden finden Sie einige AWS Config CLI-Beispielbefehle, mit denen Sie den Status Ihres Konfigurationsrekorders und Ihres Bereitstellungskanals ermitteln können.

Befehle anzeigen:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

Befehle löschen:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Weitere Informationen finden Sie in der AWS Config Dokumentation

Fehler: Keine Startpfade gefunden

Wenn Sie versuchen, ein neues Konto zu erstellen, wird möglicherweise eine Fehlermeldung ähnlich dieser angezeigt:

No launch paths found for resource: prod-dpqqfywxxxx

Diese Fehlermeldung wird von generiert AWS Service Catalog, dem integrierten Service, der bei der Bereitstellung von Konten in AWS Control Tower hilft.

Häufige Ursachen:

  • Möglicherweise sind Sie als Root angemeldet. AWS Control Tower unterstützt das Erstellen von Konten nicht, wenn Sie als Root-Benutzer angemeldet sind.

  • Ihr IAM Identity Center-Benutzer wurde nicht zur entsprechenden Berechtigungsgruppe hinzugefügt. Möglicherweise müssen Sie Ihren IAM Identity Center-Benutzer zu einer dieser Berechtigungsgruppen hinzufügen: AWSAccountFactory(für Endbenutzerzugriff) oder AWSServiceCatalogAdmins(für Administratorzugriff).

  • Wenn Sie als IAM-Benutzer authentifiziert sind, müssen Sie ihn dem AWS Service Catalog Portfolio hinzufügen, damit er über die richtigen Berechtigungen verfügt.

  • Dieses Problem tritt auch auf, wenn Sie über die richtigen Berechtigungen verfügen, aber ein AWS Control Tower Tower-Drift erkannt wird und eine Drift-Reparatur erforderlich ist. Um die meisten Arten von Drift zu reparieren, wählen Sie auf der Seite mit den Landingzone-Einstellungen die Option Zurücksetzen.

Fehler „Unzureichende Berechtigungen“ erhalten

Es ist möglich, dass Ihr Konto nicht über die erforderlichen Berechtigungen verfügt, um bestimmte Arbeiten auszuführen AWS Organizations. Wenn der folgende Fehler auftritt, überprüfen Sie alle Berechtigungsbereiche, z. B. IAM- oder IAM Identity Center-Berechtigungen, um sicherzustellen, dass Ihre Erlaubnis nicht von diesen Orten aus verweigert wird:

You have insufficient permissions to perform AWS Organizations API actions.

Wenn Sie der Meinung sind, dass Ihre Arbeit die Aktion erfordert, die Sie versuchen, und Sie keine relevante Einschränkung finden können, wenden Sie sich an Ihren Systemadministrator oder AWS Support.

Detektivkontrollen wirken sich nicht auf Konten aus

Wenn Sie Ihre AWS Control Tower-Bereitstellung vor Kurzem auf eine neue AWS Region ausgeweitet haben, werden neu eingeführte Detektivkontrollen für neue Konten, die Sie in einer Region erstellen, erst wirksam, wenn die einzelnen Konten innerhalb der von AWS Control Tower verwalteten Organisationseinheiten aktualisiert wurden. Bestehende detektivische Kontrollen für bestehende Konten sind weiterhin in Kraft.

Wenn Sie versuchen, eine Detektivkontrolle zu aktivieren, bevor Sie Ihre Konten aktualisieren, wird möglicherweise eine Fehlermeldung ähnlich der folgenden angezeigt:

AWS Control Tower can't enable the selected control on this OU. AWS Control Tower cannot apply the control on the OU ou-xxx-xxxxxxxx, because child accounts have dependencies that are missing. Update all child accounts under the OU, then try again.

Zu ergreifende Maßnahme: Aktualisieren der Konten.

Informationen zum Aktualisieren Ihrer Konten von der AWS Control Tower Tower-Konsole aus finden Sie unterWann sollten AWS Control Tower-OUs und -Konten aktualisiert werden.

Um mehrere einzelne Konten programmgesteuert zu aktualisieren, können Sie die APIs von AWS Service Catalog und die AWS CLI verwenden, um die Updates zu automatisieren. Weitere Informationen über die Vorgehensweise beim Aktualisierungsvorgang finden Sie in diesem Video-Anleitung.  Sie können die im Video UpdateProvisionedProductgezeigte ProvisionProductAPI durch die API ersetzen.

Wenn Sie weitere Probleme mit der Aktivierung von Detective Controls für Ihre Konten haben, wenden Sie sich an den AWS Support.

Der Fehler „Rate überschritten“ wurde von der AWS Organizations API zurückgegeben

Mögliche Ursache

Ihr Workload lief, während AWS Control Tower täglich einen Scan durchführte, um zu überprüfen, ob sich Ihre SCPs verändert haben.

Folgende Schritte sind zu beachten

Wenn Sie auf eine API-Drosselung oder einen rate exceeded Fehler stoßen, versuchen Sie es mit diesen Schritten:

  • Führen Sie Ihre Workloads zu einem anderen Zeitpunkt aus. (Im Zeitplan für SCP-Invarianzscans von AWS Control Tower nach Regionen finden Sie Informationen darüber, wann AWS Control Tower seine Audit-Scans durchführt.)

  • Wenn Sie die APIs direkt über HTTP aufrufen: Verwenden Sie das AWS SDK, das fehlgeschlagene Aktionen automatisch wiederholt

  • Beantragen Sie eine Limiterhöhung über Service Quotas und AWS Support

Ein Beispiel für Anweisungen zur Fehlerbehebung bei API-Drosselung in Elastic Beanstalk finden Sie hier: https://aws.amazon.com/premiumsupport/knowledge-center/elastic-beanstalk-api-throttling-errors/

Fehler beim Verschieben eines Account Factory Factory-Kontos direkt von einer AWS Control Tower Tower-Landezone in eine andere AWS Control Tower Tower-Landezone

Warnung

Diese Vorgehensweise erfüllt nicht die Voraussetzung für die Registrierung eines berechtigten Kontos, da berechtigte Konten Teil derselben gesamten AWS-Organisation sein müssen und jede Organisation nur eine landing zone haben darf. Wenn Sie versucht haben, diese Aktion durchzuführen und Sie feststellen, dass Sie mehrere Fehlermeldungen erhalten, finden Sie hier einige Informationen, die hilfreich sein könnten.

Um ein Konto, das Sie über Account Factory bereitgestellt haben, in eine andere landing zone zu verschieben, die von AWS Control Tower verwaltet wird, und zwar unter einem anderen Verwaltungskonto, müssen Sie alle IAM-Rollen und die mit diesem Konto verknüpften Stacks aus der ursprünglichen Organisationseinheit entfernen. Entfernen Sie diese Ressourcen aus jeder Region, in der das Konto bereitgestellt wird.

Anmerkung

Die beste Methode zum Entfernen der Ressourcen besteht darin, die Bereitstellung des Kontos in seiner ursprünglichen Organisationseinheit aufzuheben, bevor Sie versuchen, es zu verschieben.

Wenn Sie die Ressourcen nicht entfernen, schlägt die Registrierung in der neuen Organisationseinheit fehl, was ziemlich spektakulär ist. Möglicherweise werden eine oder mehrere Fehlermeldungen angezeigt, und Sie erhalten weiterhin ähnliche Fehlermeldungen, bis die verbleibenden Rollen und Stacks aus allen Regionen, in denen das Konto bereitgestellt wurde, entfernt wurden.

Jedes Mal, wenn Sie eine Fehlermeldung erhalten, müssen Sie das Konto aus der neuen Organisationseinheit entfernen, die alte Ressource löschen, die Gegenstand der Fehlermeldung ist, und dann versuchen, das Konto wieder in die neue Organisationseinheit zu verschieben. Dieser Vorgang removing-and-deleting muss für jede verbleibende Ressource, für jede Region, in der das Konto bereitgestellt wurde, wiederholt werden, möglicherweise 10 oder 20 Mal. Diese wiederholten Fehler treten auf, weil das Konto in einer Organisationseinheit mit einem SCP bereitgestellt wurde, der das Löschen der IAM-Rolle verhindert. Sie können den Wiederherstellungsprozess verkürzen, indem Sie alle Ressourcen des Kontos löschen, bevor Sie es erneut versuchen.

Die folgenden Beispiele stellen die Arten von Fehlermeldungen dar, die Sie möglicherweise erhalten, wenn ungelöschte Rollen und Stacks bestehen bleiben. Höchstwahrscheinlich wird Ihnen bei jedem Versuch, das Konto zu registrieren, jeweils eine dieser Meldungen angezeigt, solange die alten Ressourcen noch verfügbar sind.

Die Werte der Ressourcen-ID-Zeichenfolgen wurden für die Beispiele geändert. Ihre Werte werden in einer Fehlermeldung, die Sie möglicherweise erhalten, nicht identisch sein. Möglicherweise wird eine Meldung angezeigt, die den folgenden Beispielen ähnelt:

  • AWS Control Tower cannot create the IAM role aws-controltower-AdministratorExecutionRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ConfigRecorderRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ForwardSnsNotificationRole because the role already exists. To continue, delete the existing IAM role and try again.

Möglicherweise wird Ihnen auch eine Fehlermeldung über einen Stack-Set-Fehler angezeigt, die der folgenden ähnelt:

 
"Error\":\"StackSetFailState\",
\"Cause\":\"StackSetOperation on AWSControlTowerBP-BASELINE-CLOUDWATCH 
with id 8aXXXXf5-e0XX-4XXa-bc4XX-dXXXXXee31 
has reached SUCCEEDED state but has 1 NON-CURRENT stack instances; 
here is the summary :{ StackSet Id: 
AWSControlTowerBP-BASELINE-CLOUDWATCH:40XXXbf2-Xead-46a1-XXXa-eXXXXecb2ee2, 
Stack instance Id: 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458, 
Status: OUTDATED, 
Status Reason: ResourceLogicalId:ForwardSnsNotification, 
ResourceType:AWS::Lambda::Function, 
ResourceStatusReason:aws-controltower-NotificationForwarder already exists in stack 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458.

Nachdem alle verbleibenden Ressourcen aus der ersten Organisationseinheit entfernt wurden, können Sie das Konto erfolgreich in die neue Organisationseinheit einladen, bereitstellen oder registrieren.

AWS Support

Wenn Sie Ihre vorhandenen Mitgliedskonten in einen anderen Supportplan verschieben möchten, können Sie sich bei jedem Konto mit den Anmeldeinformationen des Stammkontos anmelden, Pläne vergleichen und die gewünschte Supportstufe festlegen.

Es wird empfohlen, dass Sie die MFA- und Kontosicherheitskontakte aktualisieren, wenn Sie Änderungen an Ihrem Supportplan vornehmen.