Memecahkan masalah - AWSControl Tower
Peluncuran Zona Pendaratan GagalKesalahan zona pendaratan tidak mutakhirPenyediaan Akun Baru GagalGagal Mendaftarkan Akun yang AdaTidak Dapat Memperbarui Akun Akun FactoryTidak Dapat Memperbarui Zona PendaratanKesalahan Kegagalan yang Menyebutkan AWS ConfigTidak Ada Jalur Peluncuran Ditemukan KesalahanMenerima Kesalahan Izin Tidak CukupKontrol Detektif tidak berlaku pada akunNilai terlampaui kesalahan yang dikembalikan oleh API AWS OrganizationsGagal memindahkan akun Account Factory langsung dari satu landing zone AWS Control Tower ke landing zone AWS Control Tower lainnyaAWS Support

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memecahkan masalah

Jika Anda mengalami masalah saat menggunakan AWS Control Tower, Anda dapat menggunakan informasi berikut untuk menyelesaikannya sesuai dengan praktik terbaik kami. Jika masalah yang Anda temui berada di luar cakupan informasi berikut, atau jika masih ada setelah Anda mencoba menyelesaikannya, hubungi AWS Support.

Peluncuran Zona Pendaratan Gagal

Penyebab umum kegagalan peluncuran landing zone:

  • Kurangnya respons terhadap pesan email konfirmasi.

  • AWS CloudFormation StackSet Kegagalan.

Pesan email konfirmasi: Jika akun manajemen Anda berusia kurang dari satu jam, Anda mungkin mengalami masalah saat akun tambahan dibuat.

Tindakan yang harus diambil

Jika Anda mengalami masalah ini, periksa email Anda. Anda mungkin telah dikirimi email konfirmasi yang sedang menunggu tanggapan. Atau, kami sarankan Anda menunggu satu jam, dan kemudian coba lagi. Jika masalah berlanjut, hubungi AWS Support.

Gagal StackSets: Kemungkinan penyebab lain kegagalan peluncuran landing zone adalah AWS CloudFormation StackSet kegagalan. AWS Wilayah Security Token Service (STS) harus diaktifkan di akun manajemen untuk semua AWS Wilayah yang diatur AWS Control Tower, sehingga penyediaan dapat berhasil; jika tidak, kumpulan tumpukan akan gagal diluncurkan.

Tindakan yang harus diambil

Pastikan untuk mengaktifkan semua wilayah titik akhir AWS Security Token Service (STS) yang diperlukan sebelum meluncurkan AWS Control Tower.

Untuk melihat daftar AWS Control Tower Wilayah AWS yang didukung, lihatBagaimana AWS Daerah Bekerja Dengan AWS Control Tower.

Kesalahan zona pendaratan tidak mutakhir

Jika Anda belum memperbarui landing zone baru-baru ini, Anda mungkin menerima kesalahan saat mencoba mendapatkan kembali akses ke AWS Control Tower. Anda mungkin melihat pesan kesalahan yang mirip dengan yang ini:

Unable to access Control Tower

Akun Anda sudah tidak aktif terlalu lama. Karena tidak aktif, Anda harus memperbarui landing zone untuk akses ke AWS Control Tower.

Namun, pembaruan landing zone Anda mungkin gagal.

Langkah-langkah yang harus diambil

Masuk ke akun manajemen organisasi Anda, dan masuk sebagai pengguna root. Pengguna IAM atau pengguna Anda di IAM Identity Center harus memiliki izin administrator AWS Control Tower dan menjadi bagian dari grup. AWSControlTowerAdmins Kemudian coba pembaruan lagi.

Penyediaan Akun Baru Gagal

Jika Anda mengalami masalah ini, periksa penyebab umum ini.

Saat Anda mengisi formulir penyediaan akun, Anda mungkin memiliki:

  • TagOptions yang ditentukan,

  • mengaktifkan notifikasi SNS,

  • mengaktifkan pemberitahuan produk yang disediakan.

Coba lagi untuk menyediakan akun Anda, tanpa menentukan salah satu opsi tersebut. Untuk informasi selengkapnya, lihat Menyediakan akun dengan AWS Service Catalog Account Factory .

Penyebab umum lainnya untuk kegagalan:

  • Jika Anda membuat paket produk yang disediakan (untuk melihat perubahan sumber daya), penyediaan akun Anda mungkin tetap dalam status Sedang berlangsung tanpa batas waktu.

  • Pembuatan akun baru di Account Factory akan gagal sementara perubahan konfigurasi AWS Control Tower lainnya sedang berlangsung. Misalnya, saat proses sedang berjalan untuk menambahkan kontrol ke OU, Account Factory akan menampilkan pesan kesalahan jika Anda mencoba menyediakan akun.

Untuk memeriksa status tindakan sebelumnya di AWS Control Tower

  • Arahkan AWS CloudFormation ke> StackSets

  • Periksa setiap set tumpukan yang terkait dengan AWS Control Tower (awalan: "AWSControlTower“)

  • Cari AWS CloudFormation StackSets operasi yang masih berjalan.

Jika penyediaan akun Anda memakan waktu lebih dari satu jam, sebaiknya hentikan proses penyediaan dan coba lagi.

Gagal Mendaftarkan Akun yang Ada

Jika Anda mencoba sekali untuk mendaftarkan AWS akun yang ada dan pendaftaran itu gagal, saat Anda mencoba untuk kedua kalinya, pesan kesalahan mungkin memberi tahu Anda bahwa kumpulan tumpukan ada. Untuk melanjutkan, Anda harus menghapus produk yang disediakan di Account Factory.

Jika alasan kegagalan pendaftaran pertama adalah karena Anda lupa membuat AWSControlTowerExecution peran di akun sebelumnya, pesan kesalahan yang akan Anda terima dengan benar memberi tahu Anda untuk membuat peran. Namun, ketika Anda mencoba membuat peran, Anda kemungkinan akan menerima pesan kesalahan lain yang menyatakan bahwa AWS Control Tower tidak dapat membuat peran tersebut. Kesalahan ini terjadi karena prosesnya telah selesai sebagian.

Dalam hal ini, Anda harus mengambil dua langkah pemulihan sebelum Anda dapat melanjutkan dengan mendaftarkan akun Anda yang ada. Pertama, Anda harus menghentikan produk yang disediakan Account Factory melalui konsol. AWS Service Catalog Selanjutnya, Anda harus menggunakan AWS Organizations konsol untuk memindahkan akun secara manual dari OU dan kembali ke root. Setelah itu selesai, buat AWSControlTowerExecution peran di akun, lalu isi kembali formulir akun Daftarkan.

Kemungkinan penyebab kegagalan pendaftaran lainnya adalah akun tersebut memiliki sumber daya Config AWS yang ada. Dalam hal ini, lihat Mendaftarkan akun yang memiliki AWS Config sumber daya yang ada untuk petunjuk tentang cara mengubah sumber daya yang ada.

Tidak Dapat Memperbarui Akun Akun Factory

Ketika akun berada dalam keadaan tidak konsisten, akun tidak dapat diperbarui dengan sukses dari Account Factory atau AWS Service Catalog.

Kasus 1: Anda mungkin menemukan pesan kesalahan yang mirip dengan yang ini:

AWS Control Tower could not baseline VPC in the managed account because of existing resource dependencies.

Penyebab umum: AWS Control Tower selalu menghapus VPC AWS default selama penyediaan awal. Untuk memiliki VPC AWS default di akun, Anda harus menambahkannya setelah pembuatan akun. AWS Control Tower memiliki VPC defaultnya sendiri yang menggantikan AWS VPC default, kecuali jika Anda menyiapkan Account Factory seperti yang ditunjukkan oleh penelusuran—-sehingga AWS Control Tower tidak menyediakan VPC sama sekali. Maka akun tersebut tidak memiliki VPC. Anda harus menambahkan kembali VPC AWS default jika Anda ingin menggunakannya.

Namun, AWS Control Tower tidak mendukung AWS VPC default. Menyebarkan satu menyebabkan akun memasuki Tainted status. Ketika dalam keadaan itu, Anda tidak dapat memperbarui akun melalui AWS Service Catalog.

Tindakan yang harus diambil: Anda harus menghapus VPC default yang Anda tambahkan, dan kemudian Anda akan dapat memperbarui akun.

catatan

TaintedStatus menyebabkan masalah tindak lanjut: Akun yang tidak diperbarui dapat mencegah pengaktifan kontrol pada OU yang menjadi bagiannya.

Kasus 2: Anda mungkin melihat pesan kesalahan yang mirip dengan yang ini:

AWS Control Tower detects that your enrolled account has been moved to a new organizational unit.

Penyebab umum: Anda mencoba memindahkan akun dari satu OU terdaftar ke yang lain, tetapi aturan AWS Config lama tetap ada. Akun dalam keadaan tidak konsisten.

Tindakan yang harus diambil:

Jika pemindahan akun dimaksudkan:

  • Mengakhiri akun di Service Catalog.

  • Daftarkan lagi.

  • Konteks/dampak: Aturan AWS Config Deployed tidak cocok dengan konfigurasi yang ditentukan oleh OU tujuan.

  • AWS Aturan Config mungkin tetap dari OU sebelumnya, menyebabkan pengeluaran yang tidak diinginkan.

  • Upaya untuk mendaftarkan ulang atau memperbarui akun akan gagal karena konflik penamaan sumber daya.

Jika pemindahan akun tidak disengaja:

  • Kembalikan akun ke OU aslinya.

  • Perbarui akun dari Service Catalog.

  • Dalam parameter peluncuran, masukkan OU tempat akun awalnya berada.

  • Konteks/dampak: Jika akun tidak dikembalikan ke OU aslinya, statusnya akan tidak konsisten dengan kontrol yang ditentukan oleh OU baru di dalamnya.

  • Memperbarui akun bukanlah perbaikan yang valid, karena tidak menghapus AWS Config aturan yang terkait dengan OU sebelumnya.

Tidak Dapat Memperbarui Zona Pendaratan

AWS Control Tower tidak memutar kembali ke versi landing zone sebelumnya jika pembaruan gagal. Anda mungkin menemukan landing zone Anda dalam keadaan tak tentu. Jika demikian, hubungi AWS dukungan.

Pembaruan zona pendaratan mungkin gagal karena beberapa alasan.

  • Prasyarat tidak terpenuhi

  • AWS Config sumber daya ada di akun tertentu

  • Akun tertutup ada

Prasyarat tidak terpenuhi

Pembaruan landing zone harus memenuhi prasyarat yang sama dengan pengaturan landing zone. Sebelum Anda memperbarui, tinjau cek pra-peluncuran.

AWS Config sumber daya ada di akun Security OU

Jangan menambahkan AWS Config sumber daya di akun Audit dan Arsip Log Anda. Proses pembaruan landing zone tidak dapat diselesaikan dengan sumber daya yang ada. Pembatasan ini mirip dengan yang berlaku untuk mendaftarkan akun atau menyiapkan landing zone untuk pertama kalinya. Untuk informasi selengkapnya, lihat Mendaftarkan akun yang memiliki AWS Config sumber daya yang ada.

Akun tertutup ada

Saat akun dalam status Tertutup atau Ditangguhkan, Anda mungkin mengalami masalah saat mencoba memperbarui landing zone. Anda harus menghapus produk yang disediakan di setiap akun yang ditutup sebelum melakukan pembaruan ke landing zone.

Pada halaman produk AWS Service Catalog yang disediakan, Anda mungkin melihat pesan kesalahan yang mirip dengan yang ini:

AWSControlTowerExecution role can't be assumed on the account.

Penyebab umum: Anda telah menangguhkan akun tanpa menghapus produk yang disediakan.

Tindakan yang harus diambil: Jika Anda melihat kesalahan ini, Anda memiliki dua opsi:

  1. Hubungi AWS Support dan buka kembali akun, hapus produk yang disediakan, lalu tutup akun lagi.

  2. Hapus sumber daya dari StackSets yang telah menjadi yatim piatu karena penutupan akun. (Opsi ini hanya tersedia jika StackSets memiliki instance dalam keadaan Saat ini yang tidak Anda hapus.)

Untuk menghapus sumber daya dari StackSets, lakukan ini untuk setiap akun yang ditutup:

  • Masuk ke masing-masing AWS Control Tower StackSets dan hapus StackInstances dari setiap wilayah, untuk akun yang telah ditutup.

  • PENTING: Pilih opsi Retain Stack sehingga hanya StackSet menghapus instance tumpukan. StackSet tidak dapat mengambil peran dari akun yang ditutup, sehingga akan gagal jika mencoba mengambil AWSControlTowerExecution peran, yang mengarah ke pesan kesalahan yang Anda terima.

Kesalahan Kegagalan yang Menyebutkan AWS Config

Jika AWS Config diaktifkan di AWS Wilayah mana pun yang didukung oleh AWS Control Tower, Anda mungkin menerima pesan kesalahan karena pra-pemeriksaan gagal. Pesan tersebut mungkin tampaknya tidak menjelaskan masalah secara memadai, karena beberapa perilaku yang mendasarinya. AWS Config

Anda mungkin menerima pesan kesalahan, mirip dengan salah satu dari ini:

  • AWS Control Tower cannot create an AWS Config delivery channel because one already exists. To continue, delete the existing delivery channel and try again
.

  • AWS Control Tower cannot create an AWS Config configuration recorder because one already exists. To continue, delete the existing delivery channel and try again
.

Penyebab umum: Ketika AWS Config layanan diaktifkan pada AWS akun, itu membuat perekam konfigurasi dan saluran pengiriman dengan penamaan default. Jika Anda menonaktifkan AWS Config layanan melalui konsol, itu tidak menghapus perekam konfigurasi atau saluran pengiriman. Anda harus menghapusnya melalui CLI, atau memodifikasinya untuk penggunaan AWS Control Tower. Jika AWS Config layanan diaktifkan di salah satu Wilayah yang didukung oleh AWS Control Tower, hal ini dapat mengakibatkan kegagalan ini.

Jika akun memiliki sumber daya AWS Config yang sudah ada, lihat Mendaftarkan akun yang memiliki AWS Config sumber daya yang ada untuk petunjuk tentang cara mengubah sumber daya yang ada.

Tindakan yang harus diambil: Hapus perekam konfigurasi dan saluran pengiriman di semua wilayah yang didukung. Menonaktifkan AWS Config tidak cukup, perekam konfigurasi dan saluran pengiriman harus dihapus melalui CLI. Setelah menghapus perekam konfigurasi dan saluran pengiriman dari CLI, Anda dapat mencoba lagi untuk meluncurkan AWS Control Tower dan mendaftarkan akun.

Jika Anda sedang dalam proses menerapkan produk yang disediakan, Anda harus menghapus produk yang disediakan sebelum Anda mencoba lagi. Jika tidak, Anda mungkin melihat pesan kesalahan yang mirip dengan yang ini:

  • An error occurred (InvalidParametersException) when calling the ProvisionProduct operation: A stack named Stackname already exists.

Dalam pesan, Stacknamemenentukan nama tumpukan.

Berikut adalah beberapa contoh perintah AWS Config CLI yang dapat Anda gunakan untuk menentukan status perekam konfigurasi dan saluran pengiriman Anda.

Lihat perintah:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

Hapus perintah:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Untuk informasi lebih lanjut, lihat AWS Config dokumentasi

Tidak Ada Jalur Peluncuran Ditemukan Kesalahan

Saat Anda mencoba membuat akun baru, Anda mungkin melihat pesan kesalahan yang mirip dengan yang ini:

No launch paths found for resource: prod-dpqqfywxxxx

Pesan kesalahan ini dihasilkan oleh AWS Service Catalog, yang merupakan layanan terintegrasi yang membantu menyediakan akun di AWS Control Tower.

Penyebab Umum:

  • Anda mungkin masuk sebagai root. AWS Control Tower tidak mendukung pembuatan akun saat Anda masuk sebagai pengguna root.

  • Pengguna Pusat Identitas IAM Anda belum ditambahkan ke grup izin yang sesuai. Anda mungkin perlu menambahkan pengguna IAM Identity Center Anda ke salah satu grup izin ini: AWSAccountFactory(untuk akses pengguna akhir) atau AWSServiceCatalogAdmins(untuk akses admin).

  • Jika Anda diautentikasi sebagai pengguna IAM, Anda harus menambahkannya ke AWS Service Catalog portofolio sehingga memiliki izin yang benar.

  • Masalah ini juga terjadi jika Anda memiliki izin yang benar, tetapi AWS Control Tower drift terdeteksi, dan perbaikan drift diperlukan. Untuk memperbaiki sebagian besar jenis drift, pilih Reset pada halaman pengaturan zona pendaratan.

Menerima Kesalahan Izin Tidak Cukup

Ada kemungkinan bahwa akun Anda mungkin tidak memiliki izin yang diperlukan untuk melakukan pekerjaan tertentu secara tertentu AWS Organizations. Jika Anda menemukan jenis kesalahan berikut, periksa semua area izin, seperti izin IAM atau IAM Identity Center, untuk memastikan izin Anda tidak ditolak dari tempat-tempat tersebut:

You have insufficient permissions to perform AWS Organizations API actions.

Jika Anda yakin pekerjaan Anda memerlukan tindakan yang Anda coba, dan Anda tidak dapat menemukan batasan yang relevan, hubungi administrator sistem atau Support AWS Anda.

Kontrol Detektif tidak berlaku pada akun

Jika Anda baru saja memperluas penerapan AWS Control Tower ke AWS Wilayah baru, kontrol detektif yang baru diterapkan tidak berlaku pada akun baru yang Anda buat di Wilayah mana pun hingga akun individual dalam OU yang diatur oleh AWS Control Tower diperbarui. Kontrol detektif yang ada pada akun yang ada masih berlaku.

Jika Anda mencoba mengaktifkan kontrol detektif sebelum memperbarui akun Anda, Anda mungkin melihat pesan kesalahan yang mirip dengan yang ini:

AWS Control Tower can't enable the selected control on this OU. AWS Control Tower cannot apply the control on the OU ou-xxx-xxxxxxxx, because child accounts have dependencies that are missing. Update all child accounts under the OU, then try again.

Tindakan yang harus diambil: Perbarui akun.

Untuk memperbarui akun Anda dari konsol AWS Control Tower, lihatKapan harus memperbarui AWS Control Tower OUs dan akun.

Untuk memperbarui beberapa akun individual secara terprogram, Anda dapat menggunakan API dari AWS Service Catalog dan AWS CLI untuk mengotomatiskan pembaruan. Untuk informasi selengkapnya tentang cara mendekati proses pembaruan, lihat iniPanduan Video.  Anda dapat mengganti UpdateProvisionedProductAPI untuk ProvisionProductAPI yang ditampilkan dalam video.

Jika Anda memiliki kesulitan lebih lanjut dengan mengaktifkan kontrol detektif di akun Anda, hubungi Support AWS .

Nilai terlampaui kesalahan yang dikembalikan oleh API AWS Organizations

Kemungkinan penyebab

Beban kerja Anda berjalan saat AWS Control Tower menjalankan pemindaian harian untuk memeriksa apakah SCP Anda telah hanyut.

Langkah-langkah untuk diikuti

Jika Anda mengalami pelambatan atau rate exceeded kesalahan API, coba langkah-langkah berikut:

  • Jalankan beban kerja Anda pada waktu yang berbeda. (Lihat jadwal pemindaian invarian AWS Control Tower SCP menurut Wilayah untuk mengetahui kapan AWS Control Tower menjalankan pemindaian auditnya.)

  • Jika Anda memanggil API secara langsung melalui HTTP: Gunakan AWS SDK, yang secara otomatis mencoba ulang tindakan yang gagal

  • Meminta peningkatan batas melalui Service Quotas dan Support AWS

Contoh instruksi pemecahan masalah untuk pelambatan API di Elastic Beanstalk dapat ditemukan di sini: https://aws.amazon.com/premiumsupport/knowledge-center/elastic-beanstalk-api-throttling-errors/

Gagal memindahkan akun Account Factory langsung dari satu landing zone AWS Control Tower ke landing zone AWS Control Tower lainnya

Awas

Praktik ini tidak memenuhi prasyarat untuk pendaftaran akun yang memenuhi syarat, karena akun yang memenuhi syarat harus menjadi bagian dari Organisasi AWS keseluruhan yang sama, dan setiap organisasi mungkin hanya memiliki satu landing zone. Jika Anda telah mencoba melakukan tindakan ini dan Anda menemukan diri Anda menerima beberapa pesan kesalahan, berikut adalah beberapa informasi yang mungkin membantu.

Untuk memindahkan akun yang telah Anda sediakan melalui Account Factory ke landing zone lain yang dikelola oleh AWS Control Tower, di bawah akun manajemen lain, Anda harus menghapus semua peran IAM dan tumpukan yang terkait dengan akun tersebut dari OU asli. Hapus sumber daya ini dari setiap Wilayah tempat akun digunakan.

catatan

Cara terbaik untuk menghapus sumber daya adalah dengan membatalkan penyediaan akun di OU aslinya sebelum Anda mencoba memindahkannya.

Jika Anda tidak menghapus sumber daya, pendaftaran ke OU baru akan gagal, agak spektakuler. Anda mungkin menemukan satu atau beberapa pesan kesalahan, dan Anda akan terus menerima pesan kesalahan serupa hingga peran dan tumpukan yang tersisa dihapus dari setiap Wilayah tempat akun digunakan.

Setiap kali Anda menerima pesan kesalahan, Anda harus menghapus akun dari OU baru, menghapus sumber daya lama yang merupakan subjek pesan kesalahan, dan kemudian mencoba untuk memindahkan akun kembali ke OU baru. Proses ini removing-and-deleting harus diulang untuk setiap sumber daya yang tersisa, untuk setiap Wilayah di mana akun tersebut digunakan, mungkin 10 atau 20 kali. Kesalahan berulang ini terjadi karena akun disediakan ke dalam OU dengan SCP yang mencegah penghapusan peran IAM. Anda dapat memperpendek proses pemulihan dengan menghapus semua sumber daya akun sebelum Anda mencoba lagi.

Contoh di bawah ini menunjukkan jenis pesan kegagalan yang mungkin Anda terima jika peran dan tumpukan yang tidak dihapus tetap ada. Anda kemungkinan besar akan melihat salah satu pesan ini pada satu waktu, untuk setiap kali Anda mencoba mendaftarkan akun, selama sumber daya lama tetap ada.

Nilai string ID sumber daya telah dimodifikasi untuk contoh. Nilainya tidak akan sama dalam pesan kesalahan yang mungkin Anda terima. Anda mungkin melihat pesan yang mirip dengan contoh berikut:

  • AWS Control Tower cannot create the IAM role aws-controltower-AdministratorExecutionRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ConfigRecorderRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ForwardSnsNotificationRole because the role already exists. To continue, delete the existing IAM role and try again.

Atau Anda mungkin melihat pesan kesalahan tentang kegagalan set tumpukan, mirip dengan yang ini:

 
"Error\":\"StackSetFailState\",
\"Cause\":\"StackSetOperation on AWSControlTowerBP-BASELINE-CLOUDWATCH 
with id 8aXXXXf5-e0XX-4XXa-bc4XX-dXXXXXee31 
has reached SUCCEEDED state but has 1 NON-CURRENT stack instances; 
here is the summary :{ StackSet Id: 
AWSControlTowerBP-BASELINE-CLOUDWATCH:40XXXbf2-Xead-46a1-XXXa-eXXXXecb2ee2, 
Stack instance Id: 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458, 
Status: OUTDATED, 
Status Reason: ResourceLogicalId:ForwardSnsNotification, 
ResourceType:AWS::Lambda::Function, 
ResourceStatusReason:aws-controltower-NotificationForwarder already exists in stack 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458.

Setelah semua sumber daya yang tersisa dihapus dari OU pertama, Anda akan dapat mengundang, menyediakan, atau mendaftarkan akun ke OU baru dengan sukses.

AWS Support

Jika Anda ingin memindahkan akun anggota yang ada ke paket dukungan yang berbeda, Anda dapat masuk ke setiap akun dengan kredensi akun root, membandingkan paket, dan mengatur tingkat dukungan yang Anda inginkan.

Kami menyarankan Anda memperbarui MFA dan kontak keamanan akun saat Anda membuat perubahan pada paket dukungan Anda.