문제 해결 - AWS Control Tower

문제 해결

AWS Control Tower 사용 중 문제가 발생하는 경우 다음 정보를 사용하여 모범 사례에 따라 문제를 해결할 수 있습니다. 발생한 문제가 다음 정보의 범위를 벗어나거나 해결을 시도한 후에도 문제가 지속되는 경우 AWS Support에 문의하십시오.

랜딩 영역 시작 실패

랜딩 영역 시작 실패의 일반적인 원인:

  • 확인 이메일 메시지에 응답하지 않음

  • AWS CloudFormation StackSet 오류

확인 이메일 메시지: 마스터 계정을 생성한 지 1시간 미만인 경우 추가 계정을 생성할 때 문제가 발생할 수 있습니다.

취할 조치

이 문제가 발생하는 경우 이메일을 확인하십시오. 응답을 대기하는 확인 이메일이 전송되었을 수 있습니다. 또는 한 시간 정도 기다렸다가 다시 시도하는 것이 좋습니다. 문제가 지속되면 AWS Support에 문의하십시오.

StackSets 오류: 랜딩 영역 시작 실패의 또 다른 원인은 AWS CloudFormation StackSet 오류입니다. AWS Control Tower가 지원되는 모든 AWS 리전에서 AWS Security Token Service(STS) 리전을 활성화해야 프로비저닝에 성공하며, 그렇지 않으면 스택 세트가 시작되지 않습니다.

취할 조치

AWS Control Tower를 시작하기 전에 필요한 모든 AWS Security Token Service(STS) 엔드포인트 리전을 활성화해야 합니다.

현재 AWS Control Tower는 다음 AWS 리전에서 지원됩니다.

  • 미국 동부(버지니아 북부)

  • 미국 동부(오하이오)

  • 미국 서부(오레곤)

  • 유럽(아일랜드)

  • 아시아 태평양(시드니)

새 계정 프로비저닝 실패

이 문제가 발생하면 이러한 일반적인 원인을 확인하십시오.

계정 프로비저닝 양식을 작성할 때 다음과 같은 내용이 있을 수 있습니다.

  • 지정된 tagOptions

  • 활성화된 SNS 알림

  • 활성화된 프로비저닝된 제품 알림

이러한 옵션을 지정하지 않고 다시 계정을 프로비저닝합니다. 자세한 내용은 AWS Service Catalog를 사용한 Account Factory 계정 프로비저닝 단원을 참조하십시오.

실패의 다른 일반적인 원인:

  • 리소스 변경 내용을 보기 위해 프로비저닝된 제품 계획을 만든 경우 계정 프로비저닝이 계속 진행 중 상태로 유지될 수 있습니다.

  • 다른 AWS Control Tower 구성 변경이 진행되는 동안 Account Factory에서 새 계정을 생성하면 실패합니다. 예를 들어 OU에 가드레일을 추가하기 위한 프로세스가 실행되는 동안 계정을 프로비저닝하려고 시도하면 Account Factory에 오류 메시지가 표시됩니다.

AWS Control Tower에서 이전 작업의 상태를 확인하려면

  • AWS CloudFormation > AWS StackSets로 이동합니다.

  • AWS Control Tower와 관련된 각 스택 세트를 확인합니다(접두사: "AWSControlTower").

  • 여전히 실행 중인 AWS StackSets 작업을 찾습니다.

계정 프로비저닝이 1시간 이상 걸리는 경우 프로비저닝 프로세스를 종료하고 다시 시도하는 것이 좋습니다.

기존 계정 등록 실패

기존 AWS 계정을 등록하려고 했지만 처음에 실패하여 두 번째로 시도할 경우 스택 세트가 존재한다는 오류 메시지가 표시될 수 있습니다. 계속하려면 Account Factory에서 프로비저닝된 제품을 제거해야 합니다.

첫 번째 등록 실패의 이유가 계정에서 AWSControlTowerExecution 역할을 미리 생성하지 않았기 때문인 경우, 오류 메시지에 이 역할을 생성하라는 메시지가 표시됩니다. 그러나 이 역할을 생성하려고 하면 AWS Control Tower에서 역할을 생성할 수 없다는 또 다른 오류 메시지가 나타날 수 있습니다. 이 오류는 프로세스가 부분적으로 완료되었기 때문에 발생합니다.

이 경우 기존 계정 등록을 진행하기 전에 두 가지 복구 단계를 수행해야 합니다. 먼저 Account Factory에서 프로비저닝된 제품을 종료해야 합니다. 그런 다음 AWS Organizations 콘솔을 사용하여 수동으로 계정을 OU 외부로 이동한 후 다시 루트로 이동해야 합니다. 이 작업이 완료되면 계정에서 AWSControlTowerExecution 역할을 생성한 다음 계정 등록 양식을 다시 작성합니다.

Account Factory 계정을 업데이트할 수 없음

프로비저닝된 계정을 업데이트하지 못하는 문제가 발생할 수 있습니다. 다음과 유사한 오류 메시지가 표시될 수 있습니다. AWS Control Tower could not baseline VPC in the managed account because of existing resource dependencies.

일반적인 원인: AWS Control Tower는 초기 프로비저닝 중에 항상 AWS 기본 VPC를 제거합니다. 계정에 AWS 기본 VPC를 사용하려면 계정 생성 후에 추가해야 합니다. AWS Control Tower에는 AWS 기본 VPC를 대체하는 고유한 기본 VPC가 있습니다. 단, 연습에 나온 것처럼 Account Factory를 설정하면 AWS Control Tower가 VPC를 프로비저닝하지 않습니다. 따라서 계정에 VPC가 없게 됩니다. AWS 기본 VPC를 사용하려면 이를 다시 추가해야 합니다.

그런데 AWS Control Tower에서는 AWS 기본 VPC를 지원하지 않습니다. AWS 기본 VPC를 배포하면 계정이 Tainted 상태가 됩니다. 계정이 이 상태이면 AWS Service Catalog를 통해 계정을 업데이트할 수 없습니다.

Tainted 상태는 추가 문제를 일으킵니다. 계정이 업데이트되지 않으면 계정이 속한 OU에 가드레일을 활성화할 수 없습니다.

취할 조치: 추가한 기본 VPC를 삭제해야 합니다. 그러면 계정을 업데이트할 수 있습니다.

AWS Config를 언급하는 실패 오류

AWS Control Tower에서 지원하는 AWS 리전에서 AWS Config가 활성화되어 있는 경우, 사전 확인이 실패했기 때문에 오류 메시지가 표시될 수 있습니다. AWS Config의 일부 기본 동작으로 인해 이 메시지가 문제를 적절하게 설명하지 못하는 것처럼 보일 수 있습니다.

다음 중 하나와 유사한 오류 메시지가 나타날 수 있습니다.

  • AWS Control Tower cannot create an AWS Config delivery channel because one already exists. To continue, delete the existing delivery channel and try again
.

  • AWS Control Tower cannot create an AWS Config configuration recorder because one already exists. To continue, delete the existing delivery channel and try again
.

일반적인 원인: AWS 계정에서 AWS Config 서비스가 활성화되면 기본 이름으로 구성 레코더 및 전송 채널이 생성됩니다. 콘솔을 통해 AWS Config 서비스를 비활성화해도 구성 레코더나 전송 채널은 삭제되지 않습니다. CLI를 통해 삭제해야 합니다. AWS Control Tower에서 지원하는 리전 중 하나에서 AWS Config 서비스를 활성화하면 이 오류가 발생할 수 있습니다.

취할 조치: 지원되는 모든 리전에서 구성 레코더 및 전송 채널을 삭제합니다. AWS Config를 비활성화하는 것만으로는 충분하지 않습니다. CLI를 통해 구성 레코더와 전송 채널을 삭제해야 합니다. CLI에서 구성 레코더 및 전송 채널을 삭제한 후 AWS Control Tower를 다시 시작하고 계정을 등록할 수 있습니다.

다음은 구성 레코더 및 전송 채널의 상태를 확인하는 데 사용할 수 있는 몇 가지 AWS Config CLI 명령의 예입니다.

보기 명령:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

삭제 명령:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

자세한 내용은 AWS Config 설명서를 참조하십시오.

시작 경로를 찾을 수 없음 오류

새 계정을 생성하려고 할 때 다음과 유사한 오류 메시지가 나타날 수 있습니다.

No launch paths found for resource: prod-dpqqfywxxxx

이 오류 메시지는 AWS Control Tower에서 계정을 프로비저닝하는 데 도움이 되는 통합 서비스인 AWS Service Catalog에서 생성됩니다.

일반적인 원인:

  • 루트로 로그인되어 있을 수 있습니다. AWS Control Tower는 루트로 로그인한 경우 계정 생성을 지원하지 않습니다.

  • SSO 사용자가 적절한 권한 그룹에 추가되지 않았습니다.

  • IAM 사용자로 인증된 경우 올바른 권한을 갖도록 AWS Service Catalog 포트폴리오에 추가해야 합니다.

권한 부족 오류를 수신했습니다.

특정 AWS Organization에서 특정 작업을 수행하는 데 필요한 권한이 계정에 없을 수 있습니다. 다음과 같은 유형의 오류가 발생하면 IAM 또는 SSO 권한과 같은 모든 권한 영역을 파악하여 해당 위치에서 권한이 거부되지 않았는지 확인합니다.

“AWS Organization API 작업을 수행할 수 있는 권한이 부족합니다.“

시도하고 있는 동작이 작업에 필요하고 관련 제한 사항을 찾을 수 없는 경우 시스템 관리자 또는 AWS Support에 문의하십시오.

감지 가드레일이 계정에 적용되지 않음

최근에 AWS Control Tower 배포를 새 AWS 리전으로 확장한 경우 AWS Control Tower에서 관리하는 OU의 개별 계정이 업데이트될 때까지 새로 적용된 감지 가드레일이 모든 리전에서 새로 생성한 계정에 적용되지 않습니다. 기존 계정의 기존 감지 가드레일은 여전히 적용됩니다.

예를 들어, 아시아 태평양(시드니) 리전을 지원하는 릴리스 2.3에서 AWS Control Tower 랜딩 영역을 최근에 업데이트한 경우 2.3 릴리스를 배포하면 랜딩 영역이 업데이트되지만 각 개별 계정은 업데이트되지 않습니다.

AWS Control Tower 릴리스 2.3에서 랜딩 영역을 업데이트하지 않았으며 아시아 태평양(시드니) 리전에서 워크로드를 실행할 필요가 없는 경우 릴리스 2.2를 계속 사용하는 것을 고려하십시오. 릴리스 2.2를 계속 사용하면 계정에 감지 가드레일을 배포하는 동작이 변경되지 않습니다.

취할 조치: 계정 업데이트.

여러 개별 계정을 업데이트하려는 경우 AWS Service Catalog의 API와 AWS CLI를 사용하여 업데이트를 자동화할 수 있습니다. 이 업데이트 프로세스 방법에 대한 자세한 내용은 이 비디오 안내을 참조하십시오.  동영상에 나온 ProvisionProduct API 대신 UpdateProvisionedProduct API를 사용하면 됩니다.

계정에서 감지 가드레일을 활성화하는 데 문제가 있는 경우 AWS Support에 문의하십시오.

AWS Support

기존 구성원 계정을 다른 지원 플랜으로 이동하려는 경우 루트 계정 자격 증명으로 각 계정에 로그인하고, 플랜을 비교하고, 원하는 지원 수준을 설정할 수 있습니다.

지원 플랜을 변경할 때는 MFA 및 계정 보안 연락처를 업데이트하는 것이 좋습니다.