Causas frecuentes de error durante el registro o la reinscripción

En general, al registrar o volver a registrar una OU, todas las cuentas de esa OU se inscriben en AWS Control Tower. Sin embargo, es posible que algunas cuentas no se inscriban, incluso si la OU en su conjunto se ha registrado correctamente. En estos casos, debe resolver el error de verificación previa relacionado con la cuenta y, a continuación, intentar volver a inscribir esa cuenta o unidad organizativa.

Si se produce un error en el registro (o reinscripción) de una OU o de cualquiera de sus cuentas de miembros, AWS Control Tower devuelve mensajes de error a las cuentas de los miembros afectadas. Puede ver los mensajes de error en la página de detalles de la unidad organizativa, donde hay una tabla con los mensajes de error de las cuentas y de las comprobaciones previas. Si se produce un error en una operación de registro de la unidad organizativa, la tabla muestra todos los mensajes de error de todas las cuentas de la unidad organizativa. Si es necesario, también puede ver los mensajes de error en la página de detalles de la cuenta de cada cuenta.

Si lo desea, puede descargar un archivo que contenga un informe detallado que muestre las comprobaciones previas que no se han superado para analizarlas sin conexión a Internet. Puede completar la descarga pulsando el botón Descargar, que aparece en la parte superior derecha del área de registro.

En esta sección se enumeran los tipos de errores que se pueden producir si las comprobaciones previas fallan y cómo corregirlos.

Error en la zona de aterrizaje

La zona de aterrizaje no está lista

Restablece tu landing zone actual o actualízala a la última versión.

Errores de OU

Supera el número máximo de SCPs

Es posible que haya superado el límite de políticas de control de servicios (SCPs) por unidad organizativa o que haya alcanzado otra cuota. Se aplica un límite de 5 SCPs por unidad organizativa a todas las que se OUs encuentren en la zona de aterrizaje de la AWS Control Tower. Si tiene SCPs más de lo que permite la cuota, debe eliminarlos o combinarlosSCPs.
Conflictivo SCPs

La existente SCPs puede aplicarse a la OU o a la cuenta, lo que impide que AWS Control Tower inscriba la cuenta. Marque la política aplicada SCPs que pueda impedir el funcionamiento de la Torre de AWS Control. Asegúrese de marcar las SCPs que se heredan de los OUs niveles superiores de la jerarquía.
Supera la cuota del conjunto de pilas

Es posible que se haya superado la cuota del conjunto de pilas. Si tienes más instancias de las que permite la cuota, debes eliminar algunas instancias de la pila. Para obtener más información, consulte AWS CloudFormation cuotas en el AWS CloudFormation Guía del usuario.
Supera el límite de la cuenta

AWSControl Tower limita cada OU a 300 cuentas durante el registro.

Errores en la cuenta

Se impidieron las verificaciones previas de las cuentas

Una presencia SCP en la OU impide que AWS Control Tower realice verificaciones previas en las cuentas de los miembros de la OU. Para resolver este error de verificación previa, actualícelo o elimínelo SCP de la OU.
Error en la dirección de correo electrónico

La dirección de correo electrónico que especificó para la cuenta no cumple con los estándares de nomenclatura. Esta es la expresión regular (regex) que especifica qué caracteres están permitidos: [A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+
Config: grabador o canal de entrega activado

Es posible que la cuenta ya tenga una AWS Config grabador de configuración o canal de entrega. Deben eliminarse o modificarse mediante el AWS CLI en total AWS Regiones en las que la cuenta de administración de la Torre de AWS Control Tower ha gobernado los recursos antes de poder inscribir una cuenta.
STSdeshabilitado

AWS Security Token Service (AWS STS) puede estar deshabilitado en la cuenta. AWS STSlos puntos finales deben estar activados en las cuentas de todas las regiones compatibles con AWS Control Tower.
IAMIdentity Center: conflicto

La región de origen de la Torre de AWS Control no es la misma que la AWS IAM Identity Center Región (Centro de IAM identidad). Si IAM Identity Center ya está configurado, la región de origen de la Torre de AWS Control debe ser la misma que la región del IAM Identity Center.
Tema conflictivo SNS

La cuenta tiene un nombre de tema de Amazon Simple Notification Service (AmazonSNS) que AWS Control Tower debe usar. AWSControl Tower crea recursos (como SNS temas) con nombres específicos. Si estos nombres ya están en uso, se produce un error en la configuración de la Torre de AWS Control. Esta situación podría ocurrir si está reutilizando una cuenta previamente inscrita en AWS Control Tower.
Se detectó una cuenta suspendida

Esta cuenta ha sido suspendida. No se puede inscribir en la Torre AWS de Control. Elimine la cuenta de esta OU e inténtelo de nuevo.
IAMel usuario no está en la cartera

Agrega el AWS Identity and Access Management (IAM) utilice la cartera de Service Catalog antes de registrar su OU. Este error afecta únicamente a la cuenta de administración.
La cuenta no cumple los requisitos previos

La cuenta no cumple los requisitos previos para la inscripción de la cuenta. Por ejemplo, es posible que a la cuenta le falten las funciones y los permisos necesarios para inscribirla en AWS Control Tower. Las instrucciones para agregar un rol están disponibles enAñada manualmente el rol de IAM requerido a uno existente Cuenta de AWS e inscríbalo.

Como recordatorio, AWS CloudTrail se activa automáticamente en todos tus AWS cuentas al inscribirlas en AWS Control Tower. Si CloudTrail está habilitada en una cuenta antes de la inscripción, es posible que se produzca una doble facturación, a menos que la desactive CloudTrail antes de comenzar el proceso de inscripción.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cree una nueva OU

Actualizar organizaciones