Solução de problemas - AWS Control Tower
Falha na inicialização da zona de destinoErro na zona de pouso não atualizadaFalha no provisionamento de novas contasFalha ao registrar uma conta existenteNão é possível atualizar uma conta da Fábrica de contasNão é possível atualizar a zona de aterrissagemErro de falha que menciona AWS ConfigNenhum erro de caminhos de inicialização encontradoRecebeu um erro de permissões insuficientesOs controles de detetive não estão entrando em vigor nas contasErro de taxa excedida retornado pela API AWS OrganizationsFalha ao mover uma conta do Account Factory diretamente de uma zona de pouso da AWS Control Tower para outra zona de pouso da AWS Control TowerAWS Support

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas

Se você encontrar problemas ao usar o AWS Control Tower, poderá usar as informações a seguir para resolvê-los de acordo com nossas melhores práticas. Se os problemas que você encontrar estiverem fora do escopo das informações a seguir ou se persistirem após você tentar resolvê-los, entre em contato com o AWS Support.

Falha na inicialização da zona de destino

Causas comuns de falha na execução da zona de destino:

  • Falta de resposta a uma mensagem de e-mail de confirmação.

  • AWS CloudFormation StackSet falha.

Mensagens de e-mail de confirmação: se sua conta de gerenciamento tiver menos de uma hora, você poderá encontrar problemas ao criar contas adicionais.

Medida a ser tomada

Se você encontrar esse problema, verifique seu e-mail. Você pode ter recebido um e-mail de confirmação que está aguardando resposta. Como alternativa, recomendamos aguardar uma hora e, depois, tentar novamente. Se o problema persistir, entre em contato com o AWS Support.

Falha StackSets: outra possível causa da falha no lançamento do landing zone é a AWS CloudFormation StackSet falha. AWS As regiões do Security Token Service (STS) devem estar habilitadas na conta de gerenciamento de todas as AWS regiões que o AWS Control Tower está governando, para que o provisionamento possa ser bem-sucedido; caso contrário, os conjuntos de pilhas não serão iniciados.

Medida a ser tomada

Certifique-se de habilitar todas as regiões de endpoint do AWS Security Token Service (STS) necessárias antes de iniciar o AWS Control Tower.

Para ver uma lista do Regiões da AWS que o AWS Control Tower suporta, consulteComo AWS as regiões funcionam com o AWS Control Tower.

Erro na zona de pouso não atualizada

Se você não atualizou sua landing zone recentemente, você pode receber uma mensagem de erro ao tentar recuperar o acesso ao AWS Control Tower. Você pode ver uma mensagem de erro semelhante a esta:

Unable to access Control Tower

Sua conta ficou inativa por muito tempo. Devido à inatividade, você deve atualizar sua landing zone para acessar o AWS Control Tower.

No entanto, a atualização da sua landing zone pode falhar.

Etapas a serem tomadas

Entre na conta de gerenciamento da sua organização e entre como usuário root. Seu usuário do IAM ou usuário no IAM Identity Center deve ter permissões de administrador do AWS Control Tower e fazer parte do AWSControlTowerAdminsgrupo. Em seguida, tente atualizar novamente.

Falha no provisionamento de novas contas

Se você encontrar esse problema, verifique essas causas comuns.

Ao preencher o formulário de provisionamento de conta, você pode ter:

  • especificado tagOptions,

  • habilitado notificações do SNS,

  • habilitado notificações de produtos provisionados.

Tente provisionar sua conta novamente, sem especificar nenhuma dessas opções. Para ter mais informações, consulte Provisionar contas com AWS Service Catalog Account Factory .

Outras causas comuns de falha:

  • Se você criou um plano de produto provisionado (para exibir alterações de recursos), seu provisionamento de conta pode permanecer em um estado In progress (Em andamento) indefinidamente.

  • A criação de uma nova conta no Account Factory falhará enquanto outras alterações de configuração do AWS Control Tower estiverem em andamento. Por exemplo, enquanto um processo estiver em execução para adicionar um controle a uma OU, o Account Factory exibirá uma mensagem de erro se você tentar provisionar uma conta.

Para verificar o status de uma ação anterior no AWS Control Tower

  • Navegue até AWS CloudFormation > StackSets

  • Verifique cada conjunto de pilhas relacionado ao AWS Control Tower (prefixo: "“AWSControlTower)

  • Procure AWS CloudFormation StackSets as operações que ainda estão em execução.

Se o provisionamento de sua conta demorar mais de uma hora, é melhor encerrar o processo de provisionamento e tentar novamente.

Falha ao registrar uma conta existente

Se você tentar registrar uma AWS conta existente uma vez e essa inscrição falhar, ao tentar pela segunda vez, a mensagem de erro poderá indicar que o conjunto de pilhas existe. Para continuar, é necessário remover o produto provisionado na Fábrica de contas.

Se o motivo da primeira falha de registro foi que você esqueceu de criar a função AWSControlTowerExecution na conta com antecedência, a mensagem de erro que você receberá corretamente informará que a função deve ser criada. No entanto, ao tentar criar a função, é provável que você receba outra mensagem de erro informando que o AWS Control Tower não pôde criar a função. Esse erro ocorre porque o processo foi parcialmente concluído.

Nesse caso, é necessário executar duas etapas de recuperação antes de continuar a registrar sua conta existente. Primeiro, você deve encerrar o produto provisionado pelo Account Factory por meio do console. AWS Service Catalog Em seguida, você deve usar o AWS Organizations console para mover manualmente a conta da OU e voltar para a raiz. Depois disso, crie a função AWSControlTowerExecution na conta e preencha o formulário Enroll account (Registrar conta) novamente.

Outra possível causa da falha na inscrição é que a conta tem recursos do AWS Config existentes. Nesse caso, consulte Inscrever contas que tenham AWS Config recursos existentes para obter instruções sobre como você pode modificar seus recursos existentes.

Não é possível atualizar uma conta da Fábrica de contas

Quando uma conta está em um estado inconsistente, ela não pode ser atualizada com sucesso no Account Factory ou AWS Service Catalog.

Caso 1: Você pode encontrar uma mensagem de erro semelhante a esta:

AWS Control Tower could not baseline VPC in the managed account because of existing resource dependencies.

Causa comum: o AWS Control Tower sempre remove a VPC AWS padrão durante o provisionamento inicial. Para ter uma VPC AWS padrão em uma conta, você deve adicioná-la após a criação da conta. A AWS Control Tower tem sua própria VPC padrão que substitui a VPC padrão AWS , a menos que você configure o Account Factory da maneira que o passo a passo mostra, de modo que a AWS Control Tower não provisione nenhuma VPC. A conta não tem uma VPC. Você precisaria adicionar novamente a VPC AWS padrão se quiser usá-la.

No entanto, o AWS Control Tower não é compatível com a VPC AWS padrão. A implantação de uma VPC faz com que a conta entre em um estado Tainted. Quando está nesse estado, você não pode atualizar a conta por meio de AWS Service Catalog.

Ação a ser executada: você deve excluir a VPC padrão adicionada e, depois, conseguirá atualizar a conta.

nota

O Tainted estado causa um problema subsequente: uma conta que não está atualizada pode impedir a ativação de controles na OU da qual ela faz parte.

Caso 2: Você pode ver uma mensagem de erro semelhante a esta:

AWS Control Tower detects that your enrolled account has been moved to a new organizational unit.

Causa comum: você tentou mover uma conta de uma OU registrada para outra, mas as regras antigas AWS do Config permanecem. A conta está em um estado inconsistente.

Ação a ser tomada:

Se a mudança de conta foi planejada:

  • Encerre a conta no Service Catalog.

  • Inscreva-o novamente.

  • Contexto/impacto: as regras de AWS Config implantadas não correspondem à configuração ditada pela OU de destino.

  • AWS As regras de Config podem permanecer da OU anterior, causando gastos não intencionais.

  • As tentativas de reinscrever ou atualizar a conta falharão devido a conflitos de nomenclatura de recursos.

Se a mudança da conta não foi intencional:

  • Retorne a conta para sua OU original.

  • Atualize a conta no Service Catalog.

  • Nos parâmetros de inicialização, insira a OU na qual a conta estava originalmente.

  • Contexto/impacto: se a conta não for devolvida à sua OU original, seu estado será inconsistente com os controles ditados pela nova OU em que ela se encontra.

  • Atualizar uma conta não é uma correção válida, pois não exclui as AWS Config regras associadas à OU anterior.

Não é possível atualizar a zona de aterrissagem

O AWS Control Tower não reverte para uma versão anterior da landing zone se uma atualização falhar. Você pode encontrar seu landing zone em um estado indeterminado. Em caso afirmativo, entre em contato com AWS o suporte.

As atualizações da zona de pouso podem falhar por vários motivos.

  • Pré-requisitos não atendidos

  • AWS Config existem recursos em determinadas contas

  • Existem contas fechadas

Pré-requisitos não atendidos

A atualização da zona de pouso deve atender aos mesmos pré-requisitos da configuração da zona de pouso. Antes de atualizar, revise as verificações de pré-lançamento.

AWS Config existem recursos nas contas da OU de segurança

Não adicione AWS Config recursos em suas contas de arquivamento de auditoria e registro. O processo de atualização da landing zone não pode ser concluído com esses recursos presentes. Essas restrições são semelhantes às de cadastrar uma conta ou configurar uma landing zone pela primeira vez. Para obter mais informações, consulte Inscrever contas que tenham AWS Config recursos existentes.

Existem contas fechadas

Quando uma conta está no estado Fechado ou Suspenso, você pode encontrar um problema ao tentar atualizar sua landing zone. Você deve excluir o produto provisionado em cada conta fechada antes de realizar uma atualização na landing zone.

Na página do produto AWS Service Catalog provisionado, você pode ver uma mensagem de erro semelhante a esta:

AWSControlTowerExecution role can't be assumed on the account.

Causa comum: você suspendeu uma conta sem excluir o produto provisionado.

Ação a ser tomada: se você ver esse erro, você tem duas opções:

  1. Entre em contato com o AWS Support e reabra a conta, exclua o produto provisionado e feche a conta novamente.

  2. Remova os recursos do StackSets que ficaram órfãos devido ao encerramento da conta. (Essa opção está disponível somente se houver instâncias no estado atual que você não está removendo.) StackSets

Para remover os recursos do StackSets, faça o seguinte para cada conta fechada:

  • Acesse cada uma das AWS Control Tower StackSets e remova-as StackInstances de todas as regiões da conta que foi fechada.

  • IMPORTANTE: Escolha a opção Retain Stack para StackSet remover somente as instâncias da pilha. StackSet não pode assumir uma função da conta fechada, então ela falhará se tentar assumir a AWSControlTowerExecution função, o que levará à mensagem de erro que você recebeu.

Erro de falha que menciona AWS Config

Se AWS Config estiver habilitado em qualquer AWS região suportada pelo AWS Control Tower, você poderá receber uma mensagem de erro porque uma pré-verificação falhou. A mensagem pode parecer não explicar o problema adequadamente, devido a algum comportamento subjacente do AWS Config.

É possível receber uma mensagem de erro semelhante a uma destas:

  • AWS Control Tower cannot create an AWS Config delivery channel because one already exists. To continue, delete the existing delivery channel and try again
.

  • AWS Control Tower cannot create an AWS Config configuration recorder because one already exists. To continue, delete the existing delivery channel and try again
.

Causa comum: quando o AWS Config serviço é ativado em uma AWS conta, ele cria um gravador de configuração e um canal de entrega com um nome padrão. Se você desativar o AWS Config serviço por meio do console, ele não excluirá o gravador de configuração nem o canal de entrega. Você deve excluí-los por meio da CLI ou modificá-los para uso do AWS Control Tower. Se o AWS Config serviço estiver habilitado em qualquer uma das regiões suportadas pelo AWS Control Tower, isso pode resultar nessa falha.

Se a conta tiver recursos do AWS Config existentes, consulte Inscrever contas que tenham AWS Config recursos existentes para obter instruções sobre como você pode modificar seus recursos existentes.

Ação a ser tomada: exclua o gravador de configuração e o canal de entrega em todas as regiões com suporte. Desabilitar o AWS Config não é suficiente, o gravador de configuração e o canal de entrega devem ser excluídos por meio da CLI. Depois de excluir o gravador de configuração e o canal de entrega da CLI, você pode tentar novamente iniciar o AWS Control Tower e registrar a conta.

Se você estiver no processo de implantação de um produto provisionado, deverá excluí-lo antes de tentar novamente. Caso contrário, você poderá ver uma mensagem de erro semelhante a esta:

  • An error occurred (InvalidParametersException) when calling the ProvisionProduct operation: A stack named Stackname already exists.

Na mensagem, Stacknameespecifica o nome da pilha.

Aqui estão alguns exemplos de comandos da AWS Config CLI que você pode usar para determinar o status do gravador de configuração e do canal de entrega.

Comandos de exibição:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

Comandos de exclusão:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Para obter mais informações, consulte a AWS Config documentação

Nenhum erro de caminhos de inicialização encontrado

Ao tentar criar uma nova conta, é possível ver uma mensagem de erro semelhante a esta:

No launch paths found for resource: prod-dpqqfywxxxx

Essa mensagem de erro é gerada pelo AWS Service Catalog, que é o serviço integrado que ajuda a provisionar contas no AWS Control Tower.

Causas comuns:

  • Você pode estar logado como root. O AWS Control Tower não suporta a criação de contas quando você está logado como usuário root.

  • Seu usuário do IAM Identity Center não foi adicionado ao grupo de permissões apropriado. Talvez seja necessário adicionar seu usuário do IAM Identity Center a um desses grupos de permissão: AWSAccountFactory(para acesso do usuário final) ou AWSServiceCatalogAdmins(para acesso de administrador).

  • Se você estiver autenticado como usuário do IAM, deverá adicioná-lo ao AWS Service Catalog portfólio para que ele tenha as permissões corretas.

  • Esse problema também ocorre se você tiver as permissões corretas, mas o desvio do AWS Control Tower for detectado e um reparo for necessário.

Recebeu um erro de permissões insuficientes

É possível que sua conta não tenha as permissões necessárias para realizar determinados trabalhos em determinados casos AWS Organizations. Se você encontrar o seguinte tipo de erro, verifique todas as áreas de permissões, como as permissões do IAM ou do IAM Identity Center, para garantir que sua permissão não esteja sendo negada nesses locais:

You have insufficient permissions to perform AWS Organizations API actions.

Se você acredita que seu trabalho exige a ação que você está tentando e não consegue localizar nenhuma restrição relevante, entre em contato com o administrador do sistema ou com o SupportAWS .

Os controles de detetive não estão entrando em vigor nas contas

Se você expandiu recentemente sua implantação do AWS Control Tower para uma nova AWS região, os controles de detetive recém-aplicados não entrarão em vigor nas novas contas que você criar em qualquer região até que as contas individuais dentro das OUs governadas pela AWS Control Tower sejam atualizadas. Os controles de detetive existentes sobre contas existentes ainda estão em vigor.

Se você tentar ativar um controle de detetive antes de atualizar suas contas, poderá ver uma mensagem de erro semelhante a esta:

AWS Control Tower can't enable the selected control on this OU. AWS Control Tower cannot apply the control on the OU ou-xxx-xxxxxxxx, because child accounts have dependencies that are missing. Update all child accounts under the OU, then try again.

Ação a realizar: atualizar contas.

Para atualizar suas contas a partir do console do AWS Control Tower, consulteQuando atualizar as OUs e contas do AWS Control Tower.

Para atualizar várias contas individuais de forma programática, você pode usar as APIs e AWS Service Catalog a AWS CLI para automatizar as atualizações. Para obter mais informações sobre como abordar o processo de atualização, consulte Passo a passo em vídeo.  Você pode substituir a UpdateProvisionedProductAPI pela ProvisionProductAPI mostrada no vídeo.

Se você tiver mais dificuldades em ativar os controles de detetive em suas contas, entre em contato com o AWS Support.

Erro de taxa excedida retornado pela API AWS Organizations

Possível causa

Sua carga de trabalho estava em execução enquanto o AWS Control Tower executava uma verificação diária para verificar se seus SCPs se desviaram.

Etapas a seguir

Se você encontrar uma limitação ou rate exceeded erro de API, tente estas etapas:

  • Execute suas cargas de trabalho em um horário diferente. (Consulte o cronograma de verificação de invariância de SCP do AWS Control Tower por região para descobrir quando a AWS Control Tower executa suas verificações de auditoria.)

  • Se você estiver chamando as APIs diretamente por meio de HTTP: use o AWS SDK, que repete automaticamente as ações com falha

  • Solicite um aumento de limite por meio de Service Quotas and Support AWS

Um exemplo de instruções de solução de problemas para limitação de API no Elastic Beanstalk pode ser encontrado aqui: https://aws.amazon.com/premiumsupport/knowledge-center/elastic-beanstalk-api-throttling-errors/

Falha ao mover uma conta do Account Factory diretamente de uma zona de pouso da AWS Control Tower para outra zona de pouso da AWS Control Tower

Atenção

Essa prática não atende ao pré-requisito para o registro de contas elegíveis, porque as contas elegíveis devem fazer parte da mesma organização geral da AWS, e cada organização pode ter apenas uma landing zone. Se você tentou fazer essa ação e está recebendo várias mensagens de erro, aqui estão algumas informações que podem ser úteis.

Para mover uma conta que você provisionou por meio do Account Factory para outra landing zone gerenciada pelo AWS Control Tower, em outra conta de gerenciamento, você deve remover todas as funções do IAM e as pilhas associadas a essa conta da OU original. Remova esses recursos de todas as regiões nas quais a conta está implantada.

nota

A melhor maneira de remover os recursos é desprovisionar a conta em sua OU original antes de tentar movê-la.

Se você não remover os recursos, a inscrição na nova OU falhará, de forma espetacular. Você pode encontrar uma ou mais mensagens de erro e continuará recebendo mensagens de erro semelhantes até que as funções e pilhas restantes sejam removidas de cada região em que a conta foi implantada.

Sempre que receber uma mensagem de erro, você deve remover a conta da nova OU, excluir o recurso antigo que é o assunto da mensagem de erro e, em seguida, tentar mover a conta de volta para a nova OU. Esse processo removing-and-deleting deve ser repetido para cada recurso restante, para cada região em que a conta foi implantada, possivelmente 10 ou 20 vezes. Esses erros repetidos ocorrem porque a conta foi provisionada em uma OU com um SCP que impede a exclusão da função do IAM. Você pode encurtar o processo de recuperação excluindo todos os recursos da conta antes de tentar novamente.

Os exemplos abaixo representam os tipos de mensagens de falha que você pode receber se as funções e pilhas não excluídas permanecerem. Você provavelmente verá uma dessas mensagens por vez, sempre que tentar registrar a conta, desde que os recursos antigos permaneçam.

Os valores das cadeias de caracteres de ID do recurso foram modificados para os exemplos. Seus valores não serão os mesmos em uma mensagem de erro que você possa receber. Você pode ver uma mensagem semelhante aos seguintes exemplos:

  • AWS Control Tower cannot create the IAM role aws-controltower-AdministratorExecutionRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ConfigRecorderRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ForwardSnsNotificationRole because the role already exists. To continue, delete the existing IAM role and try again.

Ou você pode ver uma mensagem de erro sobre uma falha no conjunto de pilhas, semelhante a esta:

 
"Error\":\"StackSetFailState\",
\"Cause\":\"StackSetOperation on AWSControlTowerBP-BASELINE-CLOUDWATCH 
with id 8aXXXXf5-e0XX-4XXa-bc4XX-dXXXXXee31 
has reached SUCCEEDED state but has 1 NON-CURRENT stack instances; 
here is the summary :{ StackSet Id: 
AWSControlTowerBP-BASELINE-CLOUDWATCH:40XXXbf2-Xead-46a1-XXXa-eXXXXecb2ee2, 
Stack instance Id: 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458, 
Status: OUTDATED, 
Status Reason: ResourceLogicalId:ForwardSnsNotification, 
ResourceType:AWS::Lambda::Function, 
ResourceStatusReason:aws-controltower-NotificationForwarder already exists in stack 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458.

Depois que todos os recursos restantes forem removidos da primeira OU, você poderá convidar, provisionar ou inscrever a conta na nova OU com sucesso.

AWS Support

Se pretender mover as suas contas-membro existentes para um plano de suporte diferente, você poderá iniciar sessão em cada conta com credenciais de conta raiz, comparar planos, e definir o nível de suporte que preferir.

Recomendamos atualizar a MFA e os contatos de segurança da conta quando fizer alterações no plano de suporte.