一般的な問題のトラブルシューティング

この情報を使用して、アクセス拒否された問題や、 を操作するときに発生する可能性のある他の一般的な問題の診断や修復を行います。AWS Organizations.

にリクエストを送信すると､「アクセス拒否」というメッセージが表示されるAWS Organizations

• 要求したアクションとリソースを呼び出す権限を持っているかを確認します。管理者は、IAM ユーザーまたは自分がメンバーとして所属しているグループに IAM ポリシーをアタッチしてアクセス許可を付与する必要があります。ポリシーが時間帯や IP アドレス制限などの条件を含む権限を付与する記述をしている場合は、リクエストを送信する際にそれらの条件を満たす必要もあります。IAM ユーザー、グループ、ロールのポリシーの表示や修正の詳細については、『https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html』の「IAM ユーザーガイドポリシーの使用.」を参照してください。

• 手動で API リクエストに署名する (AWS SDKs を使用しない) 場合は、正確にリクエストに署名していることを確認します。

一時的なセキュリティ認証情報を使用してリクエストを送信すると「アクセスが拒否されました」というメッセージが表示される

• リクエストの作成に使用している IAM ユーザーまたはロールに適切なアクセス権限があることを確認します。一時的なセキュリティ認証情報のアクセス権限は IAM ユーザーまたはロールから生じるものであるため、IAM ユーザーまたはロールに付与されたアクセス権限に制限されます。一時的なセキュリティ認証情報のアクセス権限がどのように決定されるかについては、『https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access.html』の「IAM ユーザーガイド一時的なセキュリティ認証情報のアクセス権限を制御する.」を参照してください。

• リクエストが正しく署名されており、そのリクエストの形式が正しいことを確認します。詳細については、選択した SDK の ツールキット ドキュメントか、『AWS』の「一時的なセキュリティ認証情報を使用して IAM ユーザーガイド リソースへのアクセスをリクエストする」を参照してください。

• 一時的な認証情報が失効していないことを確認します。詳細については、『https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html』の「IAM ユーザーガイド一時的なセキュリティ認証情報のリクエスト.」を参照してください。

組織をメンバーアカウントとして残したり、メンバーアカウントを管理アカウントとして削除しようとすると、「アクセスが拒否されました」というメッセージが表示される

• メンバーアカウントでの請求を IAM ユーザーアクセスで有効にした後でのみ、メンバーアカウントを削除できます。詳細については、Billing and Cost Management の「 コンソールへのアクセスのアクティブ化」を参照してください。AWS Billing and Cost Management ユーザーガイド

• アカウントがスタンドアロンアカウントとして動作するために必要な情報を持っている場合にのみ、組織からアカウントを削除できます。AWS Organizations コンソール、API、AWS CLI コマンドを使用して組織内にアカウントを作成した場合、その情報が自動的に収集されるわけではありません。スタンドアロンとして使用する各アカウントについて、まず AWS カスタマーアグリーメントに同意してサポートプランを選択し、必須の連絡先情報を入力および確認して、現在のお支払い方法を入力する必要があります。この支払い方法は、アカウントが組織に関連付けられていない間に発生する AWS の課金対象 (AWS 無料利用枠外) のアクティビティに対して課金するために AWS によって使用されます。詳細については、「」を参照してください。メンバーアカウントとしての組織からの登録解除.

組織にアカウントを追加しようとすると「クォータを超えました」というメッセージが表示される

組織内で保持できるアカウントの数には上限があります。削除したアカウントや閉じたアカウントは、引き続きこのクォータに対してカウントされます。

参加の招待は、組織内のアカウントの上限数に対してカウントされます。招待されたアカウントが拒否された場合、管理アカウントが招待をキャンセルした場合、または招待状の有効期限が切れた場合は、カウントが返されます。

• アカウントを閉じるまたは削除する前に、AWS組織から削除して、クォータに対してカウントされ続けないようにしてください。

• クォータの引き上げをリクエストする方法については、「最大値および最小値」を参照してください。

アカウントを追加または削除するときに「このオペレーションでは待機期間が必要です」というメッセージが表示される

一部のアクションでは待機期間が必要です。たとえば、作成したばかりのアカウントをすぐに削除することはできません。数日後にアクションを再試行してください。アカウントを追加または削除するときにアカウントクォータに関する問題が発生した場合は、クォータの引き上げをリクエストする方法について説明します。最大値および最小値

組織にアカウントを追加しようとすると「組織がまだ初期化中です」というメッセージが表示される

このエラーが表示され、組織を作成してから 1 時間以上が経過している場合は、AWS サポート までお問い合わせください。

組織にアカウントを招待しようとすると、「招待は無効になっています」というメッセージが表示される。

これは、組織内のすべての機能を有効にする.場合に発生します。このオペレーションには時間がかかり、すべてのメンバーアカウントが応答する必要があります。オペレーションが完了するまで、新しいアカウントを組織サイトに加入するよう招待することはできません。

メンバーアカウントを作成したときに、正しくない E メールアドレスを使用しました

正しくない E メールアドレスを使用して組織のメンバーアカウントを作成すると、ルートユーザーとしてメンバーアカウントにサインインできなくなる場合があります。その場合は、アカウントの管理アカウントアクセスロールにアクセスを試みることができます。詳細については、「」を参照してください。管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス. これが機能しない場合、メンバーアカウントの E メールアドレスを自分で修正することはできません。代わりに、AWS サポート に連絡してメンバーアカウントの E メールアドレスを修正してください。ブラウザを使用して [お問い合わせ] ページにアクセスし、請求に関する項目を選択して AWS サポート にお問い合わせください。

変更がすぐに表示されない

世界中のデータセンター内のコンピューターを介してアクセスされるサービスとして、AWS Organizations は、結果整合性.と呼ばれる分散コンピューティングモデルを採用しています。AWS Organizations で行った変更は、すべての可能なエンドポイントから認識されるまでに時間がかかります。この遅延は、サーバー間、レプリケーションゾーン間、世界中のリージョン間でのデータ送信にかかる時間から発生している場合もあります。AWS Organizations ではパフォーマンス向上のためにキャッシュも使用しているため、これが原因で遅延が発生することがあります。変更は、以前にキャッシュされたデータがタイムアウトになるまで反映されない場合があります。

発生する可能性のあるこれらの遅延を考慮して、グローバルなアプリケーションを設計します。ある場所で行われた変更が別の場所にすぐに表示されない場合でも、適切に動作することを確認します。

AWS の他のいくつかのサービスがこの遅延からどのような影響を受けるかの詳細については、以下のリソースを参照してください。

• 『』の「データの整合性の管理」 Amazon Redshift Database Developer Guide

• Amazon S3 『』の「 のデータ整合性モデル」 Amazon Simple Storage Service 開発者ガイド

• ビッグデータブログの「Amazon S3ETL ワークフローに MapReduce および Amazon Elastic を使用する場合の整合性の確保AWS」

• https://docs.aws.amazon.com/AWSEC2/latest/APIReference/query-api-troubleshooting.html#eventual-consistency の「Amazon EC2 API ReferenceEC2 の結果整合性.