Häufige Ursachen für Fehler bei der Registrierung oder erneuten Registrierung - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Häufige Ursachen für Fehler bei der Registrierung oder erneuten Registrierung

Wenn Sie eine OU registrieren oder erneut registrieren, werden im Allgemeinen alle Konten innerhalb dieser OU in AWS Control Tower registriert. Es ist jedoch möglich, dass einige Konten nicht registriert werden können, selbst wenn die Organisationseinheit als Ganzes erfolgreich registriert wurde. In diesen Fällen müssen Sie den Fehler bei der Vorabprüfung im Zusammenhang mit dem Konto beheben und dann versuchen, das Konto oder die Organisationseinheit erneut zu registrieren.

Wenn die Registrierung (oder Neuregistrierung) einer OU oder eines ihrer Mitgliedskonten fehlschlägt, gibt AWS Control Tower Fehlermeldungen für die betroffenen Mitgliedskonten zurück. Sie können die Fehlermeldungen auf der Seite mit den OU-Details einsehen. Dort werden die Vorabprüfungen und die Fehlermeldungen zu den Konten in einer Tabelle zusammengefasst. Wenn ein Vorgang „Organisationseinheit registrieren“ fehlschlägt, werden in der Tabelle alle Fehlermeldungen für alle Konten unter der Organisationseinheit angezeigt. Bei Bedarf können Sie die Fehlermeldungen auch auf der Seite mit den Kontodetails für jedes Konto einsehen.

Optional können Sie zur Offline-Analyse eine Datei mit einem detaillierten Bericht herunterladen, aus dem hervorgeht, welche Vorabprüfungen nicht bestanden wurden. Sie können den Download abschließen, indem Sie auf die Schaltfläche Herunterladen klicken, die oben rechts im Registrierungsbereich angezeigt wird.

In diesem Abschnitt werden die Arten von Fehlern aufgeführt, die auftreten können, wenn die Vorabprüfungen fehlschlagen, und wie Sie diese Fehler korrigieren können.

Fehler in der Landezone

  • Die Landezone ist nicht bereit

    Setze deine aktuelle landing zone zurück oder aktualisiere sie auf die neueste Version.

OU-Fehler

  • Überschreitet die maximale Anzahl von SCPs

    Möglicherweise haben Sie das Limit für Dienststeuerungsrichtlinien (SCPs) pro Organisationseinheit überschritten, oder Sie haben ein anderes Kontingent erreicht. Ein Limit von 5 SCPs pro OU gilt für alle OUs in deiner AWS Control Tower Tower-Landezone. Wenn Sie mehr haben, SCPs als das Kontingent zulässt, müssen Sie die löschen oder kombinierenSCPs.

  • Widersprüchlich SCPs

    Bestehende SCPs können auf die Organisationseinheit oder das Konto angewendet werden, wodurch AWS Control Tower das Konto nicht registrieren kann. Überprüfen Sie, ob alle Richtlinien angewendet SCPs wurden, die verhindern könnten, dass AWS Control Tower funktioniert. Stellen Sie sicher, dass Sie diejenigen SCPs auswählen, die von einer OUs höheren Position in der Hierarchie übernommen wurden.

  • Überschreitet das im Stack festgelegte

    Das Stack-Set-Kontingent wurde möglicherweise überschritten. Wenn Sie mehr Instances haben, als das Kontingent zulässt, müssen Sie einige Stack-Instances löschen. Weitere Informationen finden Sie unter AWS CloudFormation Kontingente in der AWS CloudFormation Benutzerleitfaden.

  • Überschreitet das Kontolimit

    AWSControl Tower begrenzt jede OU bei der Registrierung auf 300 Konten.

Fehler im Konto

  • Vorabprüfungen von Konten wurden verhindert

    Ein SCP auf der OU vorhandenes System verhindert, dass AWS Control Tower Vorabprüfungen Ihrer OU-Mitgliedskonten durchführt. Um diesen Fehler bei der Vorabprüfung zu beheben, aktualisieren oder entfernen Sie sie SCP aus der Organisationseinheit.

  • Fehler bei der E-Mail-Adresse

    Die E-Mail-Adresse, die Sie für das Konto angegeben haben, entspricht nicht den Benennungsstandards. Hier ist der reguläre Ausdruck (Regex), der angibt, welche Zeichen zulässig sind: [A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+

  • Config Recorder oder Delivery Channel aktiviert

    Das Konto hat möglicherweise ein vorhandenes AWS Config Konfigurationsrekorder oder Lieferkanal. Diese müssen gelöscht oder geändert werden über AWS CLI insgesamt AWS Regionen, in denen das AWS Control Tower Tower-Verwaltungskonto Ressourcen verwaltet hat, bevor Sie ein Konto registrieren können.

  • STSdeaktiviert

    AWS Security Token Service (AWS STS) kann im Konto deaktiviert sein. AWS STSEndpunkte müssen in den Konten für alle von AWS Control Tower unterstützten Regionen aktiviert sein.

  • IAMIdentity Center-Konflikt

    Die Heimatregion des AWS Control Tower ist nicht dieselbe wie die AWS IAM Identity Center Region (IAMIdentity Center). Wenn IAM Identity Center bereits eingerichtet ist, muss die AWS Control Tower Tower-Heimatregion mit der IAM Identity Center-Region identisch sein.

  • Widersprüchliches Thema SNS

    Das Konto hat einen Themennamen von Amazon Simple Notification Service (AmazonSNS), den AWS Control Tower verwenden muss. AWSControl Tower erstellt Ressourcen (z. B. SNS Themen) mit bestimmten Namen. Wenn diese Namen bereits vergeben sind, schlägt die Einrichtung des AWS Control Tower fehl. Diese Situation kann auftreten, wenn Sie ein Konto wiederverwenden, das zuvor bei AWS Control Tower registriert war.

  • Gesperrtes Konto erkannt

    Dieses Konto wurde gesperrt. Es kann nicht im AWS Control Tower registriert werden. Entfernen Sie das Konto aus dieser Organisationseinheit, und versuchen Sie es erneut.

  • IAMBenutzer ist nicht im Portfolio

    Fügen Sie das hinzu AWS Identity and Access Management (IAM) Benutzer des Service Catalog-Portfolios, bevor Sie Ihre Organisationseinheit registrieren. Dieser Fehler bezieht sich nur auf das Verwaltungskonto.

  • Das Konto erfüllt die Voraussetzungen nicht

    Das Konto erfüllt nicht die Voraussetzungen für die Kontoregistrierung. Beispielsweise fehlen dem Konto möglicherweise Rollen und Berechtigungen, die für die Registrierung bei AWS Control Tower erforderlich sind. Anweisungen zum Hinzufügen einer Rolle finden Sie inFügen Sie die erforderliche IAM-Rolle manuell zu einer vorhandenen hinzu AWS-Konto und registrieren Sie sie.

Zur Erinnerung AWS CloudTrail ist auf all Ihren AWS Konten, wenn Sie sie bei AWS Control Tower registrieren. Wenn CloudTrail es für ein Konto vor der Registrierung aktiviert ist, kann es zu Doppelabrechnungen kommen, sofern Sie es nicht deaktivieren, CloudTrail bevor Sie mit dem Registrierungsprozess beginnen.