Troubleshooting - AWS Control Tower

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Troubleshooting

AWS Control Tower 사용 중 문제가 발생하는 경우 다음 정보를 사용하여 모범 사례에 따라 문제를 해결할 수 있습니다. 발생한 문제가 다음 정보의 범위를 벗어나거나 해결을 시도한 후에도 문제가 지속되는 경우 AWS Support에 문의하십시오.

랜딩 영역 시작 실패

랜딩 영역 시작 실패의 일반적인 원인:

  • 확인 이메일 메시지에 응답하지 않음

  • 에이에스 CloudFormation StackSet 실패.

확인 이메일 메시지: 귀하의 마스터 계정 은(는) 1시간 미만입니다. 추가 계정이 생성될 때 문제가 발생할 수 있습니다.

취할 조치

이 문제가 발생하는 경우 이메일을 확인하십시오. 응답을 대기하는 확인 이메일이 전송되었을 수 있습니다. 또는 한 시간 정도 기다렸다가 다시 시도하는 것이 좋습니다. 문제가 지속되면 AWS Support에 문의하십시오.

실패함 StackSets: 랜딩 존 시작 실패의 또 다른 가능한 원인은 AWS입니다. CloudFormation StackSet 실패. AWS 보안 토큰 서비스(STS) 영역은 마스터 계정 모든 AWS 지역에 대해 AWS Control Tower 을(를) 지원하므로 프로비저닝에 성공할 수 있습니다. 그렇지 않으면 스택 세트가 실행되지 않습니다.

취할 조치

AWS Control Tower를 시작하기 전에 필요한 모든 AWS Security Token Service(STS) 엔드포인트 리전을 활성화해야 합니다.

현재 AWS Control Tower는 다음 AWS 리전에서 지원됩니다.

  • 미국 동부(버지니아 북부)

  • 미국 동부(오하이오)

  • 미국 서부(오레곤)

  • 유럽(아일랜드)

  • 아시아 태평양(시드니)

새 계정 프로비저닝 실패

이 문제가 발생하면 이러한 일반적인 원인을 확인하십시오.

계정 프로비저닝 양식을 작성할 때 다음과 같은 내용이 있을 수 있습니다.

  • 지정된 tagOptions

  • 활성화된 SNS 알림

  • 활성화된 프로비저닝된 제품 알림

이러한 옵션을 지정하지 않고 다시 계정을 프로비저닝합니다. 자세한 정보는 AWS Service Catalog를 사용한 Account Factory 계정 프로비저닝 단원을 참조하십시오.

실패의 다른 일반적인 원인:

  • 리소스 변경 내용을 보기 위해 프로비저닝된 제품 계획을 만든 경우 계정 프로비저닝이 계속 진행 중 상태로 유지될 수 있습니다.

  • 다른 AWS Control Tower 구성 변경이 진행되는 동안 Account Factory에서 새 계정을 생성하면 실패합니다. 예를 들어 OU에 가드레일을 추가하기 위한 프로세스가 실행되는 동안 계정을 프로비저닝하려고 시도하면 Account Factory에 오류 메시지가 표시됩니다.

AWS Control Tower에서 이전 작업의 상태를 확인하려면

  • 다음으로 이동 에이에스 CloudFormation > AWS(에이에스에스 StackSets

  • AWS Control Tower와 관련된 각 스택 세트를 확인합니다(접두사: "AWSControlTower").

  • AWS 찾기 StackSets 여전히 실행 중인 작업입니다.

계정 프로비저닝이 1시간 이상 걸리는 경우 프로비저닝 프로세스를 종료하고 다시 시도하는 것이 좋습니다.

기존 계정 등록 실패

기존 AWS 계정을 등록하려고 했지만 처음에 실패하여 두 번째로 시도할 경우 스택 세트가 존재한다는 오류 메시지가 표시될 수 있습니다. 계속하려면 Account Factory에서 프로비저닝된 제품을 제거해야 합니다.

첫 번째 등록 실패의 이유가 계정에서 AWSControlTowerExecution 역할을 미리 생성하지 않았기 때문인 경우, 오류 메시지에 이 역할을 생성하라는 메시지가 표시됩니다. 그러나 이 역할을 생성하려고 하면 AWS Control Tower에서 역할을 생성할 수 없다는 또 다른 오류 메시지가 나타날 수 있습니다. 이 오류는 프로세스가 부분적으로 완료되었기 때문에 발생합니다.

이 경우 기존 계정 등록을 진행하기 전에 두 가지 복구 단계를 수행해야 합니다. 먼저, AWS 서비스 카탈로그 콘솔을 통해 Account Factory 제공 제품을 종료해야 합니다. 그런 다음 AWS Organizations 콘솔을 사용하여 수동으로 계정을 OU 외부로 이동한 후 다시 루트로 이동해야 합니다. 이 작업이 완료되면 계정에서 AWSControlTowerExecution 역할을 생성한 다음 계정 등록 양식을 다시 작성합니다.

Account Factory 계정을 업데이트할 수 없음

계정이 일관되지 않은 상태에 있는 경우, 계정 팩토리 또는 AWS 서비스 카탈로그 에서 성공적으로 업데이트할 수 없습니다.

사례 1: 다음과 같은 오류 메시지가 표시될 수 있습니다.

AWS Control Tower could not baseline VPC in the managed account because of existing resource dependencies.

일반적인 원인: AWS Control Tower는 초기 프로비저닝 중에 항상 AWS 기본 VPC를 제거합니다. 계정에 AWS 기본 VPC를 사용하려면 계정 생성 후에 추가해야 합니다. AWS Control Tower에는 AWS 기본 VPC를 대체하는 고유한 기본 VPC가 있습니다. 단, 연습에 나온 것처럼 Account Factory를 설정하면 AWS Control Tower가 VPC를 프로비저닝하지 않습니다. 따라서 계정에 VPC가 없게 됩니다. AWS 기본 VPC를 사용하려면 이를 다시 추가해야 합니다.

그런데 AWS Control Tower에서는 AWS 기본 VPC를 지원하지 않습니다. AWS 기본 VPC를 배포하면 계정이 Tainted 상태가 됩니다. 계정이 이 상태이면 AWS Service Catalog를 통해 계정을 업데이트할 수 없습니다.

취해야 할 조치: 추가한 기본 VPC를 삭제한 다음 계정을 업데이트할 수 있습니다.

참고

Tainted 다음과 같은 후속 문제가 발생합니다. 업데이트되지 않은 계정은 해당 계정이 속한 OU에서 가드레일을 활성화하지 못할 수 있습니다.

사례 2: 다음과 같은 오류 메시지가 표시될 수 있습니다.

AWS Control Tower detects that your enrolled account has been moved to a new organizational unit.

일반 원인: 등록된 한 OU에서 다른 OU로 계정을 이동하려고 시도했지만 이전 AWS 구성 규칙은 그대로 유지됩니다. 계정이 일관되지 않은 상태입니다.

취해야 할 조치:

계정 이동이 의도된 경우:

  • 에서 계정 종료 AWS Service Catalog.

  • 다시 등록하십시오.

  • 맥락/영향: 배포된 AWS 구성 규칙이 대상 OU에 의해 지정된 구성과 일치하지 않습니다.

  • AWS 구성 규칙이 이전 OU에서 남아 의도하지 않은 지출을 초래할 수 있습니다.

  • 리소스 이름 충돌로 인해 계정을 다시 등록하거나 업데이트하려는 시도가 실패합니다.

계좌 이동이 의도하지 않은 경우:

  • 계정을 원래 OU로 되돌립니다.

  • 에서 계정 업데이트 AWS Service Catalog.

  • 시작 매개 변수에서 계정이 원래 에 있었던 OU를 입력합니다.

  • 맥락/영향: 계정이 원래 OU로 반환되지 않는 경우 해당 상태는 에 있는 새 OU에 의해 지정된 가드레일과 일치하지 않습니다.

  • 계정 업데이트는 이전 OU와 연결된 AWS 구성 규칙을 삭제하지 않기 때문에 유효한 수정 사항이 아닙니다.

랜딩 존을 업데이트할 수 없음

계정이 닫힘 또는 일시 중지됨 랜딩 존을 업데이트하려고 할 때 문제가 발생할 수 있습니다. 랜딩 존(landing zone)에 대한 업데이트를 수행하기 전에 모든 폐쇄된 계정에서 프로비저닝된 제품을 삭제해야 합니다.

AWS Service Catalog 프로비저닝 제품 페이지에서 다음과 유사한 오류 메시지가 표시될 수 있습니다.

AWSControlTowerExecution role can't be assumed on the account.

일반 원인: 프로비저닝된 제품 을(를) 삭제하지 않고 계정을 일시 중지했습니다.

취해야 할 조치: 이 오류가 표시되면 두 가지 옵션이 있습니다.

  1. AWS 지원 부서에 연락하여 계정을 다시 열고, 프로비저닝된 제품을 삭제한 다음 계정을 다시 닫습니다.

  2. 에서 리소스를 제거합니다. StackSets 계정 폐쇄로 고아가 된 경우 (이 옵션은 StackSets 에 인스턴스가 있습니다. 현재 제거하지 않는다고 말합니다.)

에서 리소스를 제거하려면 StackSets, 폐쇄된 각 계좌에 대해 다음을 수행합니다.

  • 각 AWS Control Tower StackSets 을(를) 클릭하고 StackInstances 모든 지역에서, 폐쇄된 계정에 대해.

  • 중요: 다음을 선택하십시오. 스택 유지 옵션을 선택하여 StackSet 에서는 스택 인스턴스만 제거합니다. StackSet 폐쇄된 계정에서 역할을 맡을 수 없기 때문에 AWSControlTowerExecution roles를 선택하면 을 수신한 오류 메시지가 표시됩니다.

AWS Config를 언급하는 실패 오류

AWS Control Tower에서 지원하는 AWS 리전에서 AWS Config가 활성화되어 있는 경우, 사전 확인이 실패했기 때문에 오류 메시지가 표시될 수 있습니다. AWS Config의 일부 기본 동작으로 인해 이 메시지가 문제를 적절하게 설명하지 못하는 것처럼 보일 수 있습니다.

다음 중 하나와 유사한 오류 메시지가 나타날 수 있습니다.

  • AWS Control Tower cannot create an AWS Config delivery channel because one already exists. To continue, delete the existing delivery channel and try again
.

  • AWS Control Tower cannot create an AWS Config configuration recorder because one already exists. To continue, delete the existing delivery channel and try again
.

일반 원인: AWS 계정에서 AWS Config 서비스를 사용하도록 설정하면 기본 이름 을(를) 사용하여 구성 레코더 및 전달 채널을 생성합니다. 콘솔을 통해 AWS Config 서비스를 비활성화해도 구성 레코더나 전송 채널은 삭제되지 않습니다. CLI를 통해 삭제해야 합니다. AWS Control Tower에서 지원하는 리전 중 하나에서 AWS Config 서비스를 활성화하면 이 오류가 발생할 수 있습니다.

취해야 할 조치: 지원되는 모든 지역에서 구성 레코더 및 전달 채널을 삭제합니다. AWS Config를 비활성화하는 것만으로는 충분하지 않습니다. CLI를 통해 구성 레코더와 전송 채널을 삭제해야 합니다. CLI에서 구성 레코더 및 전송 채널을 삭제한 후 AWS Control Tower를 다시 시작하고 계정을 등록할 수 있습니다.

프로비저닝된 제품을 배포하는 경우 을 다시 시도하기 전에 프로비저닝된 제품을 삭제해야 합니다. 그렇지 않으면 다음과 같은 오류 메시지가 표시될 수 있습니다.

  • An error occurred (InvalidParametersException) when calling the ProvisionProduct operation: A stack named Stackname already exists.

메시지에서 스택 이름 는 스택의 이름을 지정합니다.

다음은 구성 레코더 및 전송 채널의 상태를 확인하는 데 사용할 수 있는 몇 가지 AWS Config CLI 명령의 예입니다.

보기 명령:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

삭제 명령:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

자세한 내용은 AWS Config 설명서를 참조하십시오.

시작 경로를 찾을 수 없음 오류

새 계정을 생성하려고 할 때 다음과 유사한 오류 메시지가 나타날 수 있습니다.

No launch paths found for resource: prod-dpqqfywxxxx

이 오류 메시지는 AWS Control Tower에서 계정을 프로비저닝하는 데 도움이 되는 통합 서비스인 AWS Service Catalog에서 생성됩니다.

일반적인 원인:

  • 루트로 로그인되어 있을 수 있습니다. AWS Control Tower는 루트로 로그인한 경우 계정 생성을 지원하지 않습니다.

  • SSO 사용자가 적절한 권한 그룹에 추가되지 않았습니다.

  • IAM 사용자로 인증된 경우 올바른 권한을 갖도록 AWS Service Catalog 포트폴리오에 추가해야 합니다.

권한 부족 오류를 수신했습니다.

특정 AWS Organization에서 특정 작업을 수행하는 데 필요한 권한이 계정에 없을 수 있습니다. 다음과 같은 유형의 오류가 발생하면 IAM 또는 SSO 권한과 같은 모든 권한 영역을 파악하여 해당 위치에서 권한이 거부되지 않았는지 확인합니다.

“AWS Organization API 작업을 수행할 수 있는 권한이 부족합니다.“

시도하고 있는 동작이 작업에 필요하고 관련 제한 사항을 찾을 수 없는 경우 시스템 관리자 또는 AWS Support에 문의하십시오.

감지 가드레일이 계정에 적용되지 않음

최근에 확장한 경우 AWS Control Tower 새로운 AWS Region으로의 배포, 새로 적용된 탐지 가드레일은 사용자가 생성하는 새로운 계정에는 적용되지 않습니다. 모든 지역에서 개인 계좌가 OUs 적용 대상 AWS Control Tower 이(가) 업데이트되었습니다. 기존 계정의 기존 감지 가드레일은 여전히 적용됩니다.

예를 들어, 아시아 태평양(시드니) 리전을 지원하는 릴리스 2.3에서 AWS Control Tower 랜딩 영역을 최근에 업데이트한 경우 2.3 릴리스를 배포하면 랜딩 영역이 업데이트되지만 각 개별 계정은 업데이트되지 않습니다.

AWS Control Tower 릴리스 2.3에서 랜딩 영역을 업데이트하지 않았으며 아시아 태평양(시드니) 리전에서 워크로드를 실행할 필요가 없는 경우 릴리스 2.2를 계속 사용하는 것을 고려하십시오. 릴리스 2.2를 계속 사용하면 계정에 감지 가드레일을 배포하는 동작이 변경되지 않습니다.

계정을 업데이트하기 전에 감지 가드레일을 활성화하려고 하면 다음과 유사한 오류 메시지가 표시될 수 있습니다.

AWS Control Tower can't enable the selected guardrail on this OU. AWS Control Tower cannot apply the guardrail on the OU ou-xxx-xxxxxxxx, because child accounts have dependencies that are missing. Update all child accounts under the OU, then try again.

취해야 할 조치: 계정 업데이트.

여러 개의 개별 계정을 업데이트하려면 APIs 업데이트 자동화를 위해 AWS 서비스 카탈로그 및 AWS CLI에서 이 업데이트 프로세스 방법에 대한 자세한 내용은 이 비디오 안내을 참조하십시오.  다음을 대체할 수 있습니다. 제안된 제품 업데이트 을 위한 API 제공제품 동영상 에 표시된 API.

계정에서 감지 가드레일을 활성화하는 데 문제가 있는 경우 AWS Support에 문의하십시오.

한 AWS Control Tower 랜딩 존에서 다른 AWS Control Tower 랜딩 존으로 계정 팩토리 계정을 직접 이동하지 못함

주의

이 방법은 권장되지 않습니다. 계정 등록 의 전제 조건 중 하나를 충족하지 않습니다. 이 지원되지 않는 작업을 시도했지만 여러 개의 오류 메시지를 받았다면 다음과 같은 정보가 도움이 될 수 있습니다.

계정 팩토리를 통해 프로비전한 계정을 에서 관리하는 다른 랜딩 존으로 이동하려면 AWS Control Tower, 다른 마스터 계정, 원래 OU에서 해당 계정과 연결된 모든 IAM 역할 및 스택을 제거해야 합니다. 계정이 배포된 모든 지역에서 이러한 리소스를 제거합니다.

참고

리소스를 제거하는 가장 좋은 방법은 원래 OU에서 계정의 프로비저닝을 해제한 후 이동합니다.

리소스를 삭제하지 않으면 새 OU에 등록하지 못하지만, 다소 놀라울 정도입니다. 하나 이상의 오류 메시지가 나타날 수 있으며, 계정이 배포된 모든 지역에서 나머지 역할과 스택이 제거될 때까지 유사한 오류 메시지가 계속 수신됩니다.

오류 메시지를 받을 때마다 새 OU에서 계정을 제거하고 오류 메시지의 대상인 이전 리소스를 삭제한 다음 계정을 새 OU로 다시 이동하려고 시도합니다. 제거 및 삭제 프로세스는 남은 모든 리소스에 대해, 계정이 배포된 모든 지역에 대해 10회 또는 20회 반복해야 합니다. 이러한 반복된 오류는 계정이 IAM 역할 삭제를 방지하는 SCP를 사용하여 OU에 프로비저닝되었기 때문에 발생합니다. 를 다시 시도하기 전에 모든 계정 리소스를 삭제하여 복구 프로세스를 단축할 수 있습니다.

아래 예는 삭제되지 않은 역할 및 스택이 남아 있는 경우 받을 수 있는 실패 메시지의 유형을 나타냅니다. 이전 리소스가 남아 있는 한 계정을 등록하려고 할 때마다 이러한 메시지 중 하나가 한 번에 표시될 가능성이 높습니다.

예제 에서 리소스 ID 문자열의 값이 수정되었습니다. 이 값은 을(를) 받을 수 있는 오류 메시지에서 동일하지 않습니다. 다음 예와 유사한 메시지가 표시될 수 있습니다.

  • AWS Control Tower cannot create the IAM role aws-controltower-AdministratorExecutionRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ConfigRecorderRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ForwardSnsNotificationRole because the role already exists. To continue, delete the existing IAM role and try again.

또는 다음과 같은 스택 세트 오류에 대한 오류 메시지가 표시될 수 있습니다.

  "Error\":\"StackSetFailState\", \"Cause\":\"StackSetOperation on AWSControlTowerBP-BASELINE-CLOUDWATCH with id 8aXXXXf5-e0XX-4XXa-bc4XX-dXXXXXee31 has reached SUCCEEDED state but has 1 NON-CURRENT stack instances; here is the summary :{ StackSet Id: AWSControlTowerBP-BASELINE-CLOUDWATCH:40XXXbf2-Xead-46a1-XXXa-eXXXXecb2ee2, Stack instance Id: arn:aws:cloudformation:eu-west-1:1X23456789XX: stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458, Status: OUTDATED, Status Reason: ResourceLogicalId:ForwardSnsNotification, ResourceType:AWS::Lambda::Function, ResourceStatusReason:aws-controltower-NotificationForwarder already exists in stack arn:aws:cloudformation:eu-west-1:1X23456789XX: stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458.

첫 번째 OU에서 나머지 모든 리소스가 제거된 후, 계정을 성공적으로 초대, 프로비저닝 또는 새 OU에 등록할 수 있습니다.

AWS Support

기존 구성원 계정을 다른 지원 플랜으로 이동하려는 경우 루트 계정 자격 증명으로 각 계정에 로그인하고, 플랜을 비교하고, 원하는 지원 수준을 설정할 수 있습니다.

지원 플랜을 변경할 때는 MFA 및 계정 보안 연락처를 업데이트하는 것이 좋습니다.