註冊或重新註冊期間失敗的常見原因 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

註冊或重新註冊期間失敗的常見原因

一般而言,當您註冊或重新註冊 OU 時,該 OU 中的所有帳戶都會註冊在 AWS Control Tower 中。不過,有些帳戶可能無法註冊,即使整體 OU 已成功註冊。在這些情況下,您必須解決與帳戶相關的預先檢查失敗,然後嘗試重新註冊該帳戶或 OU。

如果 OU 或其任何成員帳戶的註冊 (或重新註冊) 失敗,AWS Control Tower 會傳回受影響成員帳戶的錯誤訊息。您可以在 OU 詳細資訊頁面上檢視錯誤訊息,其中資料表會彙總預先檢查和帳戶錯誤訊息。如果註冊 OU 操作失敗,資料表會顯示 OU 下所有帳戶的所有錯誤訊息。如有需要,您也可以在帳戶詳細資訊頁面上檢視每個帳戶的錯誤訊息。

或者,您可以下載包含詳細報告的檔案,其中顯示哪些預先檢查未通過,以供離線分析。您可以選擇位於註冊區域右上角的下載按鈕來完成下載。

本節列出預先檢查失敗時可能收到的錯誤類型,以及如何修正錯誤。

登陸區域錯誤

  • 登陸區域尚未就緒

    重設您目前的登陸區域,或將其更新至最新版本。

OU 錯誤

  • 超過 SCPs數目上限

    您可能超過每個 OU 的服務控制政策 (SCPs) 限制,或者您可能已達到另一個配額。每個 OU 限制 5 SCPs 適用於 AWS Control Tower 登陸區域中的所有 OUs。如果您有比配額允許的更多 SCPs,則必須刪除或合併 SCPs。

  • 衝突SCPs

    現有的 SCPs可以套用至 OU 或帳戶,這會使 AWS Control Tower 無法註冊帳戶。檢查套用SCPs 是否有任何政策可能使 AWS Control Tower 無法運作。請務必檢查從階層中較高 OUs繼承的 SCPs。

  • 超過堆疊集配額

    堆疊集配額可能已超過。如果您有超過配額允許的執行個體,則必須刪除一些堆疊執行個體。如需詳細資訊,請參閱AWS CloudFormation 《 使用者指南》中的AWS CloudFormation 配額

  • 超過帳戶限制

    AWS Control Tower 在註冊期間將每個 OU 限制為 1000 個帳戶。

帳戶錯誤

  • 帳戶已防止預先檢查

    OU 上的現有 SCP 可防止 AWS Control Tower 對您的 OU 成員帳戶執行預先檢查。若要解決此預先檢查失敗,請從 OU 更新或移除 SCP。

  • 電子郵件地址錯誤

    您為帳戶指定的電子郵件地址不符合命名標準。以下是指定允許哪些字元的規則表達式 (regex): [A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+

  • 已啟用組態記錄器或交付管道

    帳戶可能具有現有的 AWS Config 組態記錄器或交付管道。您必須先 AWS CLI 在 AWS Control Tower 管理帳戶具有受管資源的所有 AWS 區域中,透過 刪除或修改這些資源,才能註冊帳戶。

  • STS 已停用

    AWS Security Token Service (AWS STS) 可能會在 帳戶中停用。必須在 AWS Control Tower 支援的所有區域中的 帳戶中啟用 AWS STS 端點。

  • IAM Identity Center 衝突

    AWS Control Tower 主區域與 AWS IAM Identity Center (IAM Identity Center) 區域不同。如果已設定 IAM Identity Center,則 AWS Control Tower 主區域必須與 IAM Identity Center 區域相同。

  • 衝突 SNS 主題

    帳戶具有 AWS Control Tower 需要使用的 Amazon Simple Notification Service (Amazon SNS) 主題名稱。AWS Control Tower 會建立具有特定名稱的資源 (例如 SNS 主題)。如果已使用這些名稱,AWS Control Tower 設定會失敗。如果您重複使用先前在 AWS Control Tower 註冊的帳戶,可能會發生這種情況。

  • 偵測到已暫停的帳戶

    此帳戶已暫停。它無法註冊到 AWS Control Tower。從此 OU 移除帳戶,然後再試一次。

  • 不在產品組合中的 IAM 使用者

    在註冊 OU 之前,將 AWS Identity and Access Management (IAM) 使用者新增至 Service Catalog 產品組合。此錯誤僅適用於 管理帳戶。

  • 帳戶不符合先決條件

    帳戶不符合帳戶註冊的先決條件。例如,帳戶可能缺少在 AWS Control Tower 中註冊帳戶所需的角色和許可。新增角色的說明可在 中找到手動將必要的 IAM 角色新增至現有 AWS 帳戶 並註冊

提醒您,當您在 AWS Control Tower 中註冊所有 AWS 帳戶時, AWS CloudTrail 會自動啟用。如果 CloudTrail 在註冊之前已在 帳戶上啟用,則除非您在開始註冊程序之前停用 CloudTrail,否則可能會產生雙重計費。