Résolution des problèmes - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes

Si vous rencontrez des problèmes lors de l'utilisation d'AWS Control Tower, vous pouvez utiliser les informations suivantes pour les résoudre en fonction de nos bonnes pratiques. Si les problèmes que vous rencontrez ne sont pas abordés dans les informations suivantes, ou s'ils persistent après que vous avez essayé de les résoudre, veuillez contacterAWSSupport.

Échec de lancement de la zone de destination

Causes courantes d'échec du lancement de la zone de destination :

  • Absence de réponse à un message électronique de confirmation.

  • AWS CloudFormation StackSet Échec.

Messages électroniques de confirmation : Si votre compte de gestion a moins d'une heure, vous pouvez rencontrer des problèmes lorsque des comptes supplémentaires sont créés.

Action à exécuter

Si vous rencontrez ce problème, vérifiez votre e-mail. Vous avez peut-être reçu un e-mail de confirmation qui est en attente de réponse. Sinon, nous vous recommandons d'attendre une heure, puis de réessayer. Si le problème persiste, contactezAWSSupport.

Échec StackSets : Une autre cause possible d'échec du échec du lancement de la landing zone deAWS CloudFormation StackSet Échec.AWS Pour que le service de jetons de sécurité (STS) doivent être activées dans le compte de gestion pour toutes les régionsAWSRégions qu'AWS Control Tower gère, de sorte que le provisionnement fonctionne, de sorte que le provisionnement fonctionne. Dans le cas contraire, le lancement des ensembles de piles échoue.

Action à exécuter

Veillez à activer toutes lesAWSSecurity Token Servicerégions d'extrémité (STS)avant de lancer la AWS Control Tower.

Actuellement, AWS Control Tower est pris en charge dans les domaines suivants :AWSRégions :

  • USA Est (Virginie du Nord)

  • USA Est (Ohio)

  • USA Ouest (Oregon)

  • Région Canada (Centre)

  • Asie-Pacifique (Sydney)

  • Région Asia Pacific (Singapore)

  • Région Europe (Frankfurt)

  • Europe (Irlande)

  • Région Europe (London)

  • Région Europe (Stockholm)

  • Région Asia Pacific (Mumbai)

  • Asia Pacific (Seoul) Region

  • Asia Pacific (Tokyo) Region

  • Région Europe (Paris)

  • Région South America (São Paulo)

Erreur de zone d'atterrissage non à jour

Si vous n'avez pas mis à jour votre landing zone récemment, vous pouvez recevoir une erreur lorsque vous essayez de nouveau d'accéder à AWS Control Tower. Vous pouvez voir un message d'erreur similaire à celui-ci :

Unable to access Control Tower

Votre compte est inactif depuis trop longtemps. En raison de l'inactivité, vous devez mettre à jour votre landing zone pour accéder à AWS Control Tower.

La mise à jour de votre landing zone peut toutefois échouer.

Les étapes à suivre

Connectez-vous au compte de gestion de votre organisation, puis connectez-vous en tant qu'utilisateur root. Votre utilisateur IAM doit disposer des autorisations d'administrateur AWS Control Tower et faire partie duAWSControlTowerAdmins. Puis tentez de relancer la mise à jour.

Échec du provisionnement du nouveau compte

Si vous rencontrez ce problème, recherchez parmi les causes les plus courantes.

Lorsque vous avez rempli le formulaire de provisionnement du compte, vous pouvez avoir :

  • tagOptions spécifié,

  • notifications SNS activées,

  • notifications de produits provisionnés activées.

Réessayez de provisionner votre compte, sans spécifier aucune de ces options. Pour plus d'informations, consultez Provisionner des Account Factory avecAWS Service Catalog.

Autres causes communes d'échec :

  • Si vous avez créé un plan produit provisionné (pour afficher les modifications des ressources), le provisionnement de votre compte peut rester indéfiniment dans l'état In progress (En cours).

  • La création d'un nouveau compte dans Account Factory échouera tant que d'autres modifications de configuration AWS Control Tower sont en cours. Par exemple, pendant l’exécution d’un processus pour ajouter une barrière de sécurité à une unité d'organisation, Account Factory affiche un message d'erreur si vous tentez de provisionner un compte.

Pour vérifier le statut d'une action précédente dans AWS Control Tower

  • Accédez àAWS CloudFormation > StackSets

  • Vérifiez chaque ensemble de piles lié à la AWS Control Tower (préfixe :AWSControlTower«)

  • RecherchezAWS CloudFormation StackSets opérations qui sont toujours en cours d'exécution.

Si le provisionnement de votre compte prend plus d'une heure, il est préférable de mettre fin au processus de provisionnement et de réessayer.

Échec de l'inscription d'un compte existant

Si vous essayez une fois d'inscrire unAWSet que l'inscription échoue, lorsque vous essayez une deuxième fois, le message d'erreur peut vous indiquer que l'ensemble de piles existe. Pour continuer, vous devez supprimer le produit provisionné dans Account Factory.

Si la raison du premier échec d'inscription était que vous aviez oublié de créer le rôle AWSControlTowerExecution dans le compte à l'avance, le message d'erreur que vous recevrez vous demandera à juste titre de créer le rôle. Toutefois, lorsque vous essayez de créer le rôle, vous êtes susceptible de recevoir un autre message d'erreur indiquant qu'AWS Control Tower n'a pas pu le créer. Cette erreur se produit car le processus a été partiellement terminé.

Dans ce cas, vous devez effectuer deux étapes de récupération avant de pouvoir procéder à l'inscription de votre compte existant. Tout d'abord, vous devez mettre fin au produit provisionné Account Factory via laAWS Service Catalogconsole Ensuite, vous devez utiliser laAWS Organizationspour déplacer manuellement le compte hors de l'unité d'organisation et revenir à la racine. Après cela, créez le rôle AWSControlTowerExecution dans le compte, puis remplissez à nouveau le formulaire Inscrire un compte.

Une autre cause possible de l'échec de l'inscription est que le compte aAWSRessources de Config. Dans ce cas, consultezInscrire des comptes qui ont déjàAWS Configressourcespour savoir comment modifier vos ressources existantes.

Impossible de mettre à jour un compte Account Factory

Lorsqu'un compte est dans un état incohérent, il ne peut pas être mis à jour correctement à partir de Account Factory ouAWS Service Catalog.

Cas 1 :Vous pouvez voir un message d'erreur similaire à celui-ci :

AWS Control Tower could not baseline VPC in the managed account because of existing resource dependencies.

Cause courante : AWS Control TowerAWSun VPC par défaut pendant le provisionnement initial. Pour avoir unAWSVPC par défaut dans un compte, vous devez l'ajouter après la création du compte. AWS Control Tower possède son propre VPC par défaut qui remplace le VPC par défaut qui remplace le VPC par défaut, sauf si vous configurez Account Factory comme vous le montre la procédure pas à pas - de sorte qu'AWS Control Tower ne provisionne pas du tout un VPC. Ensuite, le compte n'a pas de VPC. Vous devrez ajouter à nouveau laAWSun VPC par défaut si vous souhaitez l'utiliser.

Toutefois, AWS Control Tower ne prend pas en charge laAWSun VPC par défaut. Si vous en déployez un, le compte entre dans l'état Tainted. Lorsqu'il est dans cet état, vous ne pouvez pas mettre à jour le compte viaAWS Service Catalog.

Action à exécuter : Vous devez supprimer le VPC par défaut que vous avez ajouté, puis vous pourrez mettre à jour le compte.

Note

LeTaintedstate provoque un problème de suivi : Un compte qui n'est pas mis à jour peut empêcher l'activation des barrières de sécurité sur l'unité d'organisation dont il fait partie.

Cas 2 :Vous pouvez voir un message d'erreur similaire à celui-ci :

AWS Control Tower detects that your enrolled account has been moved to a new organizational unit.

Cause courante : Vous avez tenté de déplacer un compte d'une unité d'organisation enregistrée vers une autre, mais ancienAWSLes règles de Config. Le compte est dans un état incohérent.

Action à exécuter :

Si le transfert de compte était prévu :

  • Résilier le compte dansAWS Service Catalog.

  • Inscrivez-le à nouveau.

  • Contexte/impact : DéployéAWSLes règles de Config ne correspondent pas à la configuration dictée par l'unité d'organisation de destination.

  • AWSLes règles de Config peuvent rester celles de l'unité d'organisation précédente, ce qui entraîne des dépenses imprévues.

  • Les tentatives de réinscription ou de mise à jour du compte échoueront en raison de conflits de noms de ressources.

Si le transfert de compte n'était pas intentionnel :

  • Rétablissez le compte dans son unité d'organisation d'origine.

  • Mettre à jour le compte depuisAWS Service Catalog.

  • Dans les paramètres de lancement, entrez l'unité d'organisation dans laquelle le compte se trouvait d'origine.

  • Contexte/impact : Si le compte n'est pas renvoyé à son UO d'origine, son état sera incompatible avec les garde-fous dictés par la nouvelle UO dans laquelle il se trouve.

  • La mise à jour d'un compte n'est pas une correction valide, car elle ne supprime pas leAWS Configrègles associées à son unité d'organisation précédente.

Mise à jour de la zone d'atterrissage

Lorsqu'un compte se trouve dans unFerméesouSuspension, vous pouvez rencontrer un problème lorsque vous essayez de mettre à jour votre landing zone. Vous devez supprimer le produit provisionné sur chaque compte fermé avant d'effectuer une mise à jour de la landing zone.

Dans la pageAWS Service Catalog, vous pouvez voir un message d'erreur similaire à celui-ci peut s'afficher :

AWSControlTowerExecution role can't be assumed on the account.

Cause courante : Vous avez suspendu un compte sans supprimer le produit provisionné.

Action à exécuter : Si vous voyez cette erreur, vous avez deux options :

  1. ContacterAWSSupport et rouvrez le compte, supprimez le produit provisionné, puis fermez à nouveau le compte.

  2. Supprimez les ressources de la StackSets qui sont devenus orphelins en raison de la fermeture du compte. (Cette option est disponible uniquement si la StackSets avoir des instances dansactuelindiquez que vous n'êtes pas en train de supprimer.)

Pour supprimer les ressources de la StackSets, procédez comme suit pour chaque compte clôturé :

  • Accédez à chacune des AWS Control Tower StackSets et supprimez la StackInstances de chaque région, pour le compte qui a été fermé.

  • IMPORTANT : Cliquez sur l'ongletRetain Stackoption afin que le StackSet supprime uniquement les instances de la pile. StackSet ne peut pas assumer un rôle à partir du compte fermé, il échouera donc s'il essaie d'assumer leAWSControlTowerExecutionrôle, ce qui entraîne le message d'erreur que vous avez reçu.

Erreur d'échec mentionnantAWS Config

SiAWS Configest activé dans n'importe quelAWSRégion prise en charge par AWS Control Tower, vous pourriez recevoir un message d'erreur car une vérification préalable a échoué. Le message peut sembler ne pas expliquer correctement le problème, en raison d'un comportement sous-jacent deAWS Config.

Vous pouvez recevoir un message d'erreur similaire à l'un des suivants :

  • AWS Control Tower cannot create an AWS Config delivery channel because one already exists. To continue, delete the existing delivery channel and try again
.

  • AWS Control Tower cannot create an AWS Config configuration recorder because one already exists. To continue, delete the existing delivery channel and try again
.

Cause courante : Lorsque laAWS Configle service est activé sur unAWS, il crée un enregistreur de configuration et un canal de livraison avec un nom par défaut. Si vous désactivez leAWS Configvia la console, il ne supprime pas l'enregistreur de configuration ni le canal de livraison. Vous devez les supprimer via l'interface de ligne de commande. Si l'icôneAWS Configest activé dans l'une des régions prises en charge par AWS Control Tower, ce qui peut entraîner cet échec.

Action à exécuter : Supprimer l'enregistreur de configuration et le canal de livraison dans toutes les régions prises en charge. Désactivation deAWSConfig ne suffit pas, l'enregistreur de configuration et le canal de livraison doivent être supprimés au moyen de l'interface de ligne de commande. Après avoir supprimé l'enregistreur de configuration et le canal de livraison de l'interface de ligne de commande, vous pouvez essayer de lancer à nouveau AWS Control Tower et d'inscrire le compte.

Si vous êtes en train de déployer un produit provisionné, vous devez supprimer le produit provisionné avant de réessayer. Sinon, vous pouvez voir un message d'erreur similaire à celui-ci :

  • An error occurred (InvalidParametersException) when calling the ProvisionProduct operation: A stack named Stackname already exists.

Dans le message,StacknameSpécifie le nom de la pile.

Voici quelques exemplesAWS ConfigCommandes de l'interface de ligne de commande vous pouvez utiliser pour déterminer l'état de votre enregistreur de configuration et de votre canal de livraison

Commandes d'affichage :

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

Commandes de suppression :

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Pour plus d'informations, consultez le .AWS Configdocumentation

Erreur Aucun chemin de lancement trouvé

Lorsque vous essayez de créer un nouveau compte, un message d'erreur similaire à celui-ci peut s'afficher :

No launch paths found for resource: prod-dpqqfywxxxx

Ce message d'erreur est généré parAWS Service Catalog, qui est le service intégré qui aide à provisionner les comptes dans AWS Control Tower.

Causes courantes :

  • Vous pouvez être connecté en tant que racine. AWS Control Tower ne prend pas en charge la création de comptes lorsque vous êtes connecté en tant que racine.

  • Votre utilisateur IAM Identity Center n'a pas été ajouté au groupe d'autorisations approprié. Vous devrez peut-être ajouter votre utilisateur IAM Identity Center à l'un des groupes d'autorisations suivants : AWSAccountFactory(pour l'accès de l'utilisateur final) ouAWSServiceCatalogAdmins(pour l'accès administrateur).

  • Si vous êtes authentifié en tant qu'utilisateur IAM, vous devez l'ajouter à laAWS Service Catalogafin qu'il dispose des autorisations correctes.

Réception d'une erreur Autorisations insuffisantes

Il est possible que votre compte ne dispose pas des autorisations nécessaires pour effectuer certains travaux dans certainsAWS Organizations. Si vous rencontrez le type d'erreur suivant, vérifiez toutes les zones d'autorisations, telles que les autorisations IAM ou IAM Identity Center, pour vous assurer que votre autorisation n'est pas refusée de ces emplacements :

« Autorisations insuffisantes pour effectuerAWS OrganizationsActions API. »

Si vous pensez que votre travail nécessite l'action que vous tentez et que vous ne trouvez aucune restriction pertinente, veuillez contacter votre administrateur système ouAWSSupport.

Les barrières de sécurité de détection ne s'appliquent pas aux comptes

Si vous avez récemment étendu votre déploiement d'AWS Control Tower à une nouvelleAWSLes barrières de détection nouvellement appliquées à la région ne prennent pas effet sur les nouveaux comptes que vous créezdans n'importe quelle régionjusqu'à ce que les comptes individuels des unités d'organisation régies par AWS Control Tower soient mis à jour. Les barrières de sécurité de détection existantes des comptes déjà en place sont toujours en vigueur.

Si vous essayez d'activer un garde-corps de détection avant de mettre à jour vos comptes, un message d'erreur similaire à celui-ci peut s'afficher :

AWS Control Tower can't enable the selected guardrail on this OU. AWS Control Tower cannot apply the guardrail on the OU ou-xxx-xxxxxxxx, because child accounts have dependencies that are missing. Update all child accounts under the OU, then try again.

Action à exécuter : Mettre à jour les comptes

Pour mettre à jour vos comptes à partir de la console AWS Control Tower, consultezMettre à jour les unités d'organisation existantes.

Pour mettre à jour plusieurs comptes individuels par programmation, vous pouvez utiliser les API deAWS Service Cataloget l'AWSCLI pour automatiser les mises à jour. Pour plus d'informations sur l'approche à adopter en matière de mise à jour, consultez cette Vidéo de procédure.  Vous pouvez remplacer leUpdateProvisionedProductAPI pour leProvisionProductAPI présentée dans la vidéo.

Si vous rencontrez d'autres difficultés avec l'activation des barrières de sécurité de détection sur vos comptes, veuillez contacterAWSSupport.

Erreur de dépassement de taux renvoyée par leAWS OrganizationsAPI

Cause possible

Votre charge de travail était en cours d'exécution alors qu'AWS Control Tower effectuait une analyse quotidienne pour vérifier si vos points de connexion de service ont dérivé.

Les étapes à suivre

Si vous rencontrez une limitation de l'API ourate exceedederreur, essayez ces étapes :

  • Exécutez vos charges de travail à un autre moment. (Reportez-vous au calendrier d'analyse de l'invariance SCP d'AWS Control Tower par région pour savoir quand AWS Control Tower exécute ses analyses d'audit.)

  • Si vous appelez les API directement via HTTP : Utilisation de l'AWSSDK, qui réessaie automatiquement les actions ayant échoué

  • Demander une augmentation de limiteQuotas de serviceetAWSSupport

Voici un exemple d'instructions de dépannage pour la limitation des API dans Elastic Beanstalk :https://aws.amazon.com/premiumsupport/knowledge-center/elastic-beanstalk-api-throttling-errors/

Impossible de déplacer un compte Account Factory directement d'une landing zone AWS Control Tower vers une autre landing zone AWS Control Tower

Avertissement

Cette pratique ne répond pas aux conditions préalables à l'inscription d'un compte éligible, car les comptes éligibles doivent faire partie de la même organisation AWS globale, et chaque organisation peut n'avoir qu'une seule landing zone. Si vous avez essayé d'effectuer cette action et que vous recevez plusieurs messages d'erreur, voici quelques informations qui peuvent vous être utiles.

Pour déplacer un compte que vous avez approvisionné via Account Factory vers une autre zone de destination gérée par AWS Control Tower, sous un autre compte de gestion, vous devez supprimer tous les rôles IAM et les piles associées à ce compte de l'unité d'organisation d'origine. Supprimez ces ressources de chaque région dans laquelle le compte est déployé.

Note

La meilleure façon de supprimer les ressources est de déprovisionner le compte dans son unité d'organisation d'origine avant d'essayer de le déplacer.

Si vous ne supprimez pas les ressources, l'inscription à la nouvelle UO échouera, de façon assez spectaculaire. Vous pouvez rencontrer un ou plusieurs messages d'erreur et vous continuerez à recevoir des messages d'erreur similaires jusqu'à ce que les rôles et piles restants soient supprimés de chaque région dans laquelle le compte a été déployé.

Chaque fois que vous recevez un message d'erreur, vous devez supprimer le compte de la nouvelle unité d'organisation, supprimer l'ancienne ressource faisant l'objet du message d'erreur, puis tenter de replacer le compte dans la nouvelle unité d'organisation. Ce processus de removing-and-deleting doit être répété pour chaque ressource restante, pour chaque région dans laquelle le compte a été déployé, éventuellement 10 ou 20 fois. Ces erreurs répétées se produisent parce que le compte a été provisionné dans une unité d'organisation avec un SCP qui empêche la suppression du rôle IAM. Vous pouvez raccourcir le processus de récupération en supprimant toutes les ressources du compte avant de réessayer.

Les exemples ci-dessous représentent les types de messages d'échec que vous pouvez recevoir si des rôles et des piles non supprimés sont conservés. Il est fort probable que vous voyiez l'un de ces messages à la fois, chaque fois que vous tenterez d'inscrire le compte, tant que les anciennes ressources seront conservées.

Les valeurs des chaînes d'ID de ressource ont été modifiées pour les exemples. Leurs valeurs ne seront pas les mêmes dans un message d'erreur que vous pouvez recevoir. Vous pouvez voir un message similaire aux exemples suivants :

  • AWS Control Tower cannot create the IAM role aws-controltower-AdministratorExecutionRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ConfigRecorderRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ForwardSnsNotificationRole because the role already exists. To continue, delete the existing IAM role and try again.

Vous pouvez également voir un message d'erreur concernant l'échec d'un ensemble de piles, similaire à celui-ci :

  "Error\":\"StackSetFailState\", \"Cause\":\"StackSetOperation on AWSControlTowerBP-BASELINE-CLOUDWATCH with id 8aXXXXf5-e0XX-4XXa-bc4XX-dXXXXXee31 has reached SUCCEEDED state but has 1 NON-CURRENT stack instances; here is the summary :{ StackSet Id: AWSControlTowerBP-BASELINE-CLOUDWATCH:40XXXbf2-Xead-46a1-XXXa-eXXXXecb2ee2, Stack instance Id: arn:aws:cloudformation:eu-west-1:1X23456789XX: stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458, Status: OUTDATED, Status Reason: ResourceLogicalId:ForwardSnsNotification, ResourceType:AWS::Lambda::Function, ResourceStatusReason:aws-controltower-NotificationForwarder already exists in stack arn:aws:cloudformation:eu-west-1:1X23456789XX: stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458.

Une fois que toutes les ressources restantes auront été supprimées de la première unité d'organisation, vous serez en mesure d'inviter, de provisionner ou d'inscrire le compte dans la nouvelle unité d'organisation avec succès.

Prise en charge de AWS

Si vous souhaitez déplacer vos comptes de membres existants vers un autre plan de support, vous pouvez vous connecter à chaque compte avec les informations d'identification du compte racine, comparer les plans et définir le niveau de support que vous préférez.

Nous vous recommandons de mettre à jour les contacts MFA et de sécurité des comptes lorsque vous apportez des modifications à votre plan de support.