一般的な問題のトラブルシューティング - AWS Organizations
AWS Organizations にリクエストを送信すると、「アクセス拒否」というメッセージが表示される一時的なセキュリティ認証情報を使用してリクエストを送信すると「アクセスが拒否されました」というメッセージが表示される組織をメンバーアカウントとして残したり、メンバーアカウントを管理アカウントとして削除しようとすると、「アクセスが拒否されました」というメッセージが表示されます。組織にアカウントを追加しようとすると「クォータを超えました」というメッセージが表示される アカウントを追加または削除するときに「このオペレーションでは待機期間が必要です」というメッセージが表示される組織にアカウントを追加しようとすると「組織がまだ初期化中です」というメッセージが表示される組織にアカウントを招待しようとすると、「招待は無効になっています」というメッセージが表示される。変更がすぐに表示されない

一般的な問題のトラブルシューティング

この情報を使用して、アクセス拒否された問題や、AWS Organizations を操作するときに発生する可能性のある他の一般的な問題の診断や修復を行います。

AWS Organizations にリクエストを送信すると、「アクセス拒否」というメッセージが表示される

  • 要求したアクションとリソースを呼び出す権限を持っているかを確認します。管理者は、IAM ユーザーまたは自分がメンバーとして所属しているグループに IAM ポリシーをアタッチして、アクセス許可を付与する必要があります。ポリシーが時間帯や IP アドレス制限などの条件を含む権限を付与する記述をしている場合は、リクエストを送信する際にそれらの条件を満たす必要もあります。IAM ユーザー、グループ、ロールのポリシーの表示や修正の詳細については、IAM ユーザーガイドWorking with Policies を参照してください。

  • 手動で API リクエストに署名する (AWS SDK を使用しない) 場合は、正確にリクエストに署名していることを確認します。

一時的なセキュリティ認証情報を使用してリクエストを送信すると「アクセスが拒否されました」というメッセージが表示される

  • リクエストの作成に使用している IAM ユーザーまたはロールに適切なアクセス許可が付与されていることを確認します。一時的なセキュリティ認証情報のアクセス許可は IAM ユーザーまたはロールから生じるものであり、IAM ユーザーまたはロールに付与されたアクセス許可に制限されます。一時的なセキュリティ認証情報のアクセス権限がどのように決定されるかについては、IAM ユーザーガイドControlling Permissions for Temporary Security Credentials を参照してください。

  • リクエストが正しく署名されており、そのリクエストの形式が正しいことを確認します。詳細については、選択した SDK の ツールキット ドキュメント、または IAM ユーザーガイドの「AWS リソースへのアクセスをリクエストするための一時的なセキュリティ認証情報の発行」を参照してください。

  • 一時的な認証情報が失効していないことを確認します。詳細については、IAM ユーザーガイドRequesting Temporary Security Credentials を参照してください。

組織をメンバーアカウントとして残したり、メンバーアカウントを管理アカウントとして削除しようとすると、「アクセスが拒否されました」というメッセージが表示されます。

  • メンバーアカウントを削除できるのは、メンバーアカウントでの請求を IAM ユーザーアクセスで有効にした後のみです。詳細については、AWS Billing ユーザーガイドの「Billing and Cost Management コンソールへのアクセスを有効にする」を参照してください。

  • アカウントがスタンドアロンアカウントとして動作するために必要な情報を持っている場合にのみ、組織からアカウントを削除できます。AWS Organizations コンソール、API、AWS CLI コマンドを使用して組織内にアカウントを作成した場合、その情報が自動的に収集されるわけではありません。スタンドアロンとして使用する各アカウントについて、まず AWS カスタマーアグリーメントに同意してサポートプランを選択し、必須の連絡先情報を入力および確認して、現在のお支払い方法を入力する必要があります。この支払い方法は、アカウントが組織に関連付けられていない間に発生する AWS の課金対象 (AWS 無料利用枠外) のアクティビティに対して課金するために AWS によって使用されます。詳細については、「メンバーアカウントとしての組織からの登録解除」を参照してください。

組織にアカウントを追加しようとすると「クォータを超えました」というメッセージが表示される

組織内で保持できるアカウントの数には上限があります。削除したアカウントや閉じたアカウントは、引き続きこのクォータに対してカウントされます。

参加の招待は、組織内のアカウントの上限数に対してカウントされます。招待されたアカウントが拒否された場合、管理アウントが招待をキャンセルした場合、または招待状の有効期限が切れた場合は、カウントが返されます。

  • AWS アカウント を閉じたり、削除したりする前に、そのアカウントを組織から除外して、以後クォータにカウントされないようにしてください。

  • クォータ引き上げのリクエストの詳細については、「最大値および最小値」を参照してください。

アカウントを追加または削除するときに「このオペレーションでは待機期間が必要です」というメッセージが表示される

一部のアクションでは待機期間が必要です。たとえば、作成したばかりのアカウントをすぐに削除することはできません。数日後にアクションを再試行してください。アカウントを追加または削除するときにアカウントのクォータに関する問題が発生した場合は、「最大値および最小値」でクォータの引き上げをリクエストする方法について確認してください。

組織にアカウントを追加しようとすると「組織がまだ初期化中です」というメッセージが表示される

このエラーが表示され、組織を作成してから 1 時間以上が経過している場合は、AWS Support までお問い合わせください。

組織にアカウントを招待しようとすると、「招待は無効になっています」というメッセージが表示される。

これは、組織内のすべての機能を有効にする場合に発生します。このオペレーションには時間がかかり、すべてのメンバーアカウントが応答する必要があります。オペレーションが完了するまで、新しいアカウントを組織サイトに加入するよう招待することはできません。

変更がすぐに表示されない

世界中のデータセンター内のコンピューターを介してアクセスされるサービスとして、AWS Organizations は、結果整合性と呼ばれる分散コンピューティングモデルを採用しています。AWS Organizations で行った変更は、すべての可能なエンドポイントから認識されるまでに時間がかかります。この遅延は、サーバー間、レプリケーションゾーン間、世界中のリージョン間でのデータ送信にかかる時間から発生している場合もあります。AWS Organizations ではパフォーマンス向上のためにキャッシュも使用しているため、これが原因で遅延が発生することがあります。変更は、以前にキャッシュされたデータがタイムアウトになるまで反映されない場合があります。

発生する可能性のあるこれらの遅延を考慮して、グローバルなアプリケーションを設計します。ある場所で行われた変更が別の場所にすぐに表示されない場合でも、適切に動作することを確認します。

AWS の他のいくつかのサービスがこの遅延からどのような影響を受けるかの詳細については、以下のリソースを参照してください。