Cause comuni di errore durante la registrazione o la nuova registrazione

In generale, quando registri o registri nuovamente un'unità organizzativa, tutti gli account all'interno di tale unità organizzativa vengono registrati in AWS Control Tower. Tuttavia, è possibile che alcuni account non riescano a registrarsi, anche se l'unità organizzativa nel suo complesso è stata registrata correttamente. In questi casi, è necessario risolvere l'errore di controllo preliminare relativo all'account e quindi provare a registrare nuovamente l'account o l'unità organizzativa.

Se la registrazione (o la nuova registrazione) di un'unità organizzativa o di uno dei suoi account membro fallisce, AWS Control Tower restituisce messaggi di errore per gli account membri interessati. È possibile visualizzare i messaggi di errore nella pagina dei dettagli dell'unità organizzativa, in cui una tabella aggrega i precontrolli e i messaggi di errore dell'account. Se un'operazione di registrazione dell'unità organizzativa non riesce, la tabella mostra tutti i messaggi di errore per tutti gli account dell'unità organizzativa. Se necessario, è inoltre possibile visualizzare i messaggi di errore nella pagina dei dettagli dell'account per ciascun account.

Facoltativamente, puoi scaricare un file contenente un rapporto dettagliato che mostra quali controlli preliminari non sono stati superati, per l'analisi offline. Puoi completare il download scegliendo il pulsante Download, che appare in alto a destra nell'area di registrazione.

Questa sezione elenca i tipi di errori che potresti ricevere se i controlli preliminari falliscono e come correggerli.

Errore nella zona di atterraggio

• Zona di atterraggio non pronta

  Reimposta la tua landing zone attuale o aggiornala alla versione più recente.

Errori OU

• Supera il numero massimo di SCPs

  È possibile che tu abbia superato il limite delle politiche di controllo del servizio (SCPs) per unità organizzativa o che sia stata raggiunta un'altra quota. Il limite di 5 SCPs unità organizzative si applica a tutte le unità OUs presenti nella landing zone di AWS Control Tower. Se disponi SCPs di più di quanto consentito dalla quota, devi eliminare o combinare SCPs.

• Conflittente SCPs

  La versione esistente SCPs può essere applicata all'unità organizzativa o all'account, il che impedisce ad AWS Control Tower di registrare l'account. Verifica la policy applicata SCPs per eventuali policy che potrebbero impedire il funzionamento di AWS Control Tower. Assicurati di controllare quelle ereditate dai OUs vertici della gerarchia. SCPs

• Supera la quota impostata dallo stack

  La quota dello stack set potrebbe essere stata superata. Se hai più istanze di quelle consentite dalla quota, devi eliminare alcune istanze dello stack. Per ulteriori informazioni, consultare Quote di AWS CloudFormationnella Guida per l'utente di AWS CloudFormation .

• Supera il limite dell'account

  AWS Control Tower limita ogni unità organizzativa a 1000 account durante la registrazione.

Errori dell'account

• Controlli preliminari impediti sugli account

  Un SCP esistente sull'unità organizzativa impedisce ad AWS Control Tower di effettuare controlli preliminari sugli account dei membri dell'unità organizzativa. Per risolvere questo errore di controllo preliminare, aggiorna o rimuovi SCP dall'unità organizzativa.

• Errore relativo all'indirizzo e-mail

  L'indirizzo e-mail specificato per l'account non è conforme agli standard di denominazione. Ecco l'espressione regolare (regex) che specifica quali caratteri sono consentiti: [A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+

• Registratore Config o canale di distribuzione abilitato

  L'account può avere un registratore di AWS Config configurazione o un canale di distribuzione esistente. Questi devono essere eliminati o modificati AWS CLI in tutte le AWS regioni in cui l'account di gestione AWS Control Tower ha gestito le risorse, prima di poter registrare un account.

• STS disabilitato

  AWS Security Token Service (AWS STS) può essere disabilitato nell'account. AWS Gli endpoint STS devono essere attivati negli account di tutte le regioni supportate da AWS Control Tower.

• Conflitto tra IAM Identity Center

  La regione principale di AWS Control Tower non è la stessa della regione AWS IAM Identity Center (IAM Identity Center). Se IAM Identity Center è già configurato, la regione principale di AWS Control Tower deve essere la stessa della regione IAM Identity Center.

• Argomento SNS in conflitto

  L'account ha un nome tematico Amazon Simple Notification Service (Amazon SNS) che AWS Control Tower deve utilizzare. AWS Control Tower crea risorse (come argomenti SNS) con nomi specifici. Se questi nomi sono già utilizzati, la configurazione di AWS Control Tower fallisce. Questa situazione potrebbe verificarsi se si riutilizza un account precedentemente registrato in AWS Control Tower.

• È stato rilevato un account sospeso

  Questo account è stato sospeso. Non può essere registrato in AWS Control Tower. Rimuovi l'account da questa unità organizzativa e riprova.

• Utente IAM non incluso nel portfolio

  Aggiungi l'utente AWS Identity and Access Management (IAM) al portafoglio Service Catalog prima di registrare l'unità organizzativa. Questo errore riguarda solo l'account di gestione.

• L'account non soddisfa i prerequisiti

  L'account non soddisfa i prerequisiti per la registrazione dell'account. Ad esempio, all'account potrebbero mancare i ruoli e le autorizzazioni necessari per registrarlo in AWS Control Tower. Le istruzioni per aggiungere un ruolo sono disponibili in. Aggiungi manualmente il ruolo IAM richiesto a un ruolo esistente Account AWS e registralo

Ti ricordiamo che AWS CloudTrail si attiva automaticamente su tutti i tuoi AWS account quando li registri in AWS Control Tower. Se CloudTrail è abilitato su un account precedente alla registrazione, potrebbe verificarsi una doppia fatturazione a meno che non lo CloudTrail disattivi prima di iniziare la procedura di registrazione.