登録時または再登録時に発生する障害のよくある原因 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

登録時または再登録時に発生する障害のよくある原因

OU またはそのいずれかのメンバーアカウントの登録 (または再登録) が失敗した場合は、パスしなかった事前チェックに関する詳細なレポートが含まれているファイルをダウンロードできます。登録領域の右上に表示される [Download] (ダウンロード) ボタンを選択すると、ダウンロードを可尿できます。

このセクションでは、事前チェックが失敗した場合に発生する可能性があるエラーの種類とそのエラーの修正方法について説明します。

一般に、OU を登録または再登録すると、その OU 内のすべてのアカウントが AWS Control Tower に登録されます。ただし、OU 全体が正常に登録されても、一部のアカウントが登録に失敗する場合があります。このような場合は、そのアカウントに関連する事前チェックの失敗を解決して、そのアカウントまたは OU を再登録する必要があります。

ランディングゾーンのエラー

  • ランディングゾーンの準備ができていない

    現在のランディングゾーンを修復するか、最新バージョンに更新してください。

OU エラー

  • SCP の最大数を超えている

    OU あたりのサービスコントロールポリシー (SCP) の制限を超えているか、別のクォータに達している可能性があります。AWS Control Tower ランディングゾーンのすべての OU には、OU あたり 5 個の SCP という制限が適用されます。クォータの許容数を超える SCP がある場合は、SCP を削除または結合する必要があります。

  • SCP の競合

    既存の SCP が OU またはアカウントに適用されているために、AWS Control Tower がアカウントを登録できない可能性があります。適用された SCP を調べて、AWS Control Tower の動作を妨げるポリシーがないか確認してください。階層の上位にある OU から継承された SCP を確認してください。

  • スタックセットのクォータを超えている

    スタックセットのクォータを超えている可能性があります。クォータの許容数を超えるインスタンスがある場合は、スタックインスタンスをいくつか削除する必要があります。詳細については、「AWS CloudFormation ユーザーガイド」の「AWS CloudFormation のクォータ」を参照してください。

  • アカウントの上限を超えている

    AWS Control Tower では、登録時に各 OU を 300 アカウントに制限しています。

アカウントエラー

  • アカウントで事前チェックが禁止されている

    OU 上の既存の SCP が原因で、AWS Control Tower が OU メンバーアカウントに対して事前チェックを実行できません。この事前チェックの失敗を解決するには、OU を更新するか、OU から SCP を削除します。

  • E メールアドレスのエラー

    アカウントに指定した E メールアドレスが命名基準に準拠していません。許可される文字を正規表現 (regex) で指定するは、[A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+ を使用します。

  • 設定レコーダーまたは配信チャネルが有効

    アカウントには、既存の AWS Config 設定レコーダーまたは配信チャネルがある場合があります。アカウントを登録する前に、AWS Control Tower 管理アカウントがリソースを管理しているすべての AWS リージョン AWS CLI の を通じてこれらを削除または変更する必要があります。

  • STS が無効

    AWS Security Token Service (AWS STS) はアカウントで無効になっている可能性があります。 AWS STS エンドポイントは、AWS Control Tower でサポートされているすべてのリージョンのアカウントでアクティブ化する必要があります。

  • IAM Identity Center の競合

    AWS Control Tower ホームリージョンは、 AWS IAM Identity Center (IAM Identity Center) リージョンとは異なります。IAM Identity Center が既にセットアップされている場合、AWS Control Tower ホームリージョンは IAM Identity Center リージョンと同じである必要があります。

  • SNS トピックが競合している

    アカウントには、AWS Control Tower で使用する必要がある Amazon Simple Notification Service (Amazon SNS) トピック名があります。AWS Control Tower は、特定の名前を付けてリソース (SNS トピックなど) を作成します。このような名前が既に取得されている場合は、AWS Control Tower のセットアップが失敗します。こうした状況は、AWS Control Tower に以前に登録されたアカウントを再利用している場合に発生する可能性があります。

  • 一時停止中のアカウントが検出される

    このアカウントは停止しています。AWS Control Tower に登録することはできません。アカウントをこの OU から削除してから再試行してください。

  • IAM ユーザーがポートフォリオにない

    OU を登録する前に、 AWS Identity and Access Management (IAM) ユーザーを Service Catalog ポートフォリオに追加します。このエラーは、管理アカウントにのみ関係します。

  • アカウントが前提条件を満たしていない

    アカウントがアカウント登録の前提条件を満たしていません。例えば、アカウントに AWS Control Tower に登録するために必要なロールと許可が不足している可能性があります。ロールを追加する手順については、「必要な IAM ロールを既存の AWS アカウント に手動で追加し、登録します。」を参照してください。

AWS Control Tower に登録すると、 AWS CloudTrail はすべての AWS アカウントで自動的に有効になります。登録前のアカウントで CloudTrail が有効になっている場合、登録プロセス CloudTrail を開始する前に を非アクティブ化しない限り、二重請求が発生する可能性があります。