トラブルシューティング - AWS Control Tower

トラブルシューティング

AWS Control Tower の使用中に問題が発生した場合は、次の情報を使用して、当社のベストプラクティスに従って解決できます。発生した問題が次の情報の範囲外である場合、または解決を試みた後にも持続する場合は、AWS サポートにお問い合わせください。

ランディングゾーンの起動の失敗

Landing Zone の起動失敗の一般的な原因:

  • 確認メールメッセージへの応答の欠如。

  • AWS CloudFormation StackSet の失敗。

確認メールメッセージ: マスターアカウントが作成後 1 時間未満である場合、追加のアカウントを作成すると、問題が発生することがあります。

実行するアクション

この問題が発生した場合は、E メールを確認してください。確認メールが着信し、応答を待機していることがあります。または、1 時間待ってから、もう一度試すことをお勧めします。問題が解決しない場合は、AWS サポートまでお問い合わせください。

StackSet の失敗: Landing Zone の起動失敗の原因として、AWS CloudFormation StackSet の失敗が考えられます。AWS Security Token Service (STS) のリージョンは、AWS Control Tower がサポートされるすべての AWS リージョンのマスターアカウントで有効にする必要があります。そうでない場合は、スタックセットの起動は失敗します。

実行するアクション

AWS Control Tower を起動する前に、必要な AWS Security Token Service (STS) エンドポイントリージョン をすべて有効にしてください 。

現在、AWS Control Tower は次の AWS リージョンでサポートされています。

  • 米国東部(バージニア北部)

  • 米国東部 (オハイオ)

  • 米国西部 (オレゴン)

  • 欧州 (アイルランド)

  • アジアパシフィック (シドニー)

新しいアカウントのプロビジョニングに失敗する

この問題が発生した場合は、以下の一般的な原因を確認します。

アカウントのプロビジョニングフォームに入力した際に、次を行った可能性があります。

  • tagOptions を指定した

  • SNS 通知を有効化した

  • プロビジョニング済み製品の通知を有効化した

これらのオプションを指定せずに、アカウントのプロビジョニングを再試行してください。詳細については、「AWS Service Catalog による Account Factory アカウントのプロビジョニング」を参照してください。

その他の一般的な失敗の原因:

  • プロビジョニングされた製品プランを作成した場合 (リソースの変更を表示するため)、アカウントのプロビジョニングが無期限に進行中状態のままになることがあります。

  • AWS Control Tower の他の設定変更が進行中に Account Factory で新しいアカウントを作成しようすると、作成は失敗します。たとえば、OU にガードレールを追加するプロセスの進行中にアカウントをプロビジョニングしようとすると、Account Factory にエラーメッセージが表示されます。

AWS Control Tower で前のアクションのステータスを確認するには

  • [AWS CloudFormation > AWS StackSets] に移動します。

  • AWS Control Tower と関連する各スタックセットをチェックします (プレフィックス: AWSControlTower)。

  • まだ実行中の AWS StackSets オペレーションを探します。

アカウントのプロビジョニングに 1 時間以上かかる場合は、プロビジョニングプロセスを終了し、もう一度試してください。

既存のアカウントを登録できない

既存の AWS アカウントを 1 回登録しようとして、その登録が失敗した場合、2 回目を試みると、スタックセットが存在するというエラーメッセージが表示されることがあります。続行するには、プロビジョニングされた製品を Account Factory から削除する必要があります。

最初の登録が失敗した原因が、アカウントに AWSControlTowerExecution ロールを作成し忘れていたことである場合は、表示されるエラーメッセージで、ロールを作成するように指示されます。ただし、ロールを作成しようとすると、AWS Control Tower がロールを作成できなかったという別のエラーメッセージが表示されることがあります。このエラーは、プロセスが部分的に完了しているために発生します。

この場合、既存のアカウントの登録に進む前に、2 つの回復手順を実行する必要があります。まず、プロビジョニングされた製品を Account Factory で終了する必要があります。次に、AWS Organizations コンソールを使用して、OU からアカウントを手動で移動し、ルートに戻す必要があります。その後、アカウントに AWSControlTowerExecution ロールを作成し、[Enroll account (アカウントの登録)] フォームに再度入力します。

Account Factory アカウントを更新できない

プロビジョニングされたアカウントを更新できない問題が発生する場合があります。以下のようなエラーメッセージが表示されることがあります。AWS Control Tower could not baseline VPC in the managed account because of existing resource dependencies.

一般的な原因: AWS Control Tower は初期プロビジョニング中に常に AWS のデフォルト VPC を削除します。AWS のデフォルト VPC をアカウントに含めるには、アカウントの作成後に追加する必要があります。AWS Control Tower には、AWS のデフォルト VPC に代わる独自のデフォルト VPC があります。ただし、チュートリアルで示されているように Account Factory を設定しない限り、AWS Control Tower によって VPC はまったくプロビジョニングされません。この場合、アカウントに VPC はありません。AWS のデフォルト VPC を使用する場合は、その VPC を再度追加する必要があります。

ただし、AWS Control Tower は AWS のデフォルト VPC をサポートしていません。その種の VPC をデプロイすると、アカウントは Tainted 状態になります。その状態のとき、AWS Service Catalog を使用してアカウントを更新することはできません。

Tainted 状態になると、未更新のアカウントは属する先の OU でガードレールを有効にできないという問題が発生する場合があります。

実行するアクション: 追加したデフォルト VPC を削除する必要があります。これによりアカウントを更新できるようになります。

AWS Config に関するエラー

AWS Control Tower でサポートされている任意の AWS リージョンで AWS Config が有効になっている場合、事前チェックが失敗したため、エラーメッセージが表示される場合があります。AWS Config の基本的な動作が原因で、このメッセージは問題を適切に説明していないようです。

次のいずれかに類似したエラーメッセージが表示される場合があります。

  • AWS Control Tower cannot create an AWS Config delivery channel because one already exists. To continue, delete the existing delivery channel and try again
.

  • AWS Control Tower cannot create an AWS Config configuration recorder because one already exists. To continue, delete the existing delivery channel and try again
.

一般的な原因: AWS Config サービスが AWS アカウント上で有効になっている場合、デフォルトの名前で設定レコーダーと配信チャネルが作成されます。コンソールから AWS Config サービスを無効にしても、設定レコーダーや配信チャネルは削除されません。これらの項目は、CLI を使用して削除する必要があります。AWS Config サービスが AWS Control Tower でサポートされているいずれかのリージョンで有効になっている場合、このエラーが発生する可能性があります。

実行するアクション: サポートされているすべてのリージョンで、設定レコーダーと配信チャネルを削除します。AWS Config を無効にするだけでは不十分です。設定レコーダーと配信チャネルは CLI を使用して削除する必要があります。CLI から設定レコーダーと配信チャネルを削除した後、もう一度 AWS Control Tower の起動とアカウントの登録を試すことができます。

以下に、設定レコーダーと配信チャネルのステータスを確認するために使用できる AWS Config CLI コマンドの例を示します。

表示コマンド:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

削除コマンド:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

詳細については、AWS Config ドキュメントを参照してください。

起動パスが見つかりませんでしたエラー

新しいアカウントを作成しようとすると、次のようなエラーメッセージが表示されることがあります。

No launch paths found for resource: prod-dpqqfywxxxx

このエラーメッセージは、AWS Service Catalog によって生成されます。これは、AWS Control Tower でのアカウントのプロビジョニングに役立つ統合サービスです。

一般的な原因:

  • root としてログインしている可能性があります。AWS Control Tower は、root としてログインしている場合のアカウントの作成をサポートしていません。

  • SSO ユーザーが適切なアクセス許可グループに追加されていません。

  • IAM ユーザーとして認証されている場合は、正しいアクセス許可を持つように AWS Service Catalog ポートフォリオに追加する必要があります。

アクセス権限不足のエラーを受け取った

特定の AWS Organizations で特定の作業を実行するために必要なアクセス権限がアカウントにない可能性があります。次の種類のエラーが発生した場合は、IAM や SSO のアクセス権限など、すべてのアクセス権限領域をチェックして、それらの場所からアクセス権限が拒否されていないことを確認します。

「AWS Organizations の API アクションを実行するための十分なアクセス権限がありません。」

試行するアクションが作業に必要で、関連する制限が見つからない場合は、システム管理者または AWS サポートにお問い合わせください。

検出ガードレールがアカウントで有効になっていない

最近 AWS Control Tower のデプロイを新しい AWS リージョンに拡張した場合、新たに適用された検出ガードレールは、AWS Control Tower によって管理される OU 内の個々のアカウントが更新されるまでは、任意のリージョンで作成する新規アカウントに対して有効になりません。既存のアカウントにある既存の検出ガードレールはまだ有効です。

たとえば、リリース 2.3 の AWS Control Tower Landing Zone が最近更新され、 アジアパシフィック (シドニー) リージョンが有効になった場合、2.3 リリースをデプロイすることで Landing Zone は更新されますが、個々のアカウントは更新されません。

AWS Control Tower リリース 2.3 の Landing Zone を更新しておらず、アジアパシフィック (シドニー) リージョンでワークロードを実行する必要がない場合は、リリース 2.2 のままにすることを検討してください。リリース 2.2 が有効である限り、検出ガードレールをアカウントにデプロイする動作は変わりません。

実行するアクション: アカウントの更新。

複数の個別アカウントを更新するには、AWS Service Catalog の API と AWS CLI を使用して更新を自動化できます。更新プロセスにアプローチする方法の詳細については、こちらの「動画チュートリアル 」を参照してください。 動画に示されている [ProvisionProduct] API を [UpdateProvisionedProduct] API に置き換えることができます。

それでもアカウントで検出ガードレールが有効にならない場合は、AWS サポートにお問い合わせください。

AWS サポート

既存のメンバーアカウントを別のサポートプランに移動する場合は、ルートアカウントの認証情報を使用して各アカウントにサインインし、プランを比較して、希望するサポートレベルを設定できます。

サポートプランを変更するときは、MFA とアカウントのセキュリティの連絡先を更新することをお勧めします。