Resolución de problemas - AWS Control Tower
Error de lanzamiento de Landing ZoneError en la zona de aterrizaje no actualizadaError en el nuevo aprovisionamiento de cuentasError al inscribir una cuenta existenteNo se puede actualizar una cuenta de Account FactoryNo se pudo actualizar la zona de aterrizajeError: error que menciona AWS ConfigError: no se encontraron rutas de lanzamientoSe ha recibido un error de permisos insuficientesLos controles de Detectives no entran en vigor en las cuentasError de tasa superada devuelto por la AWS Organizations APINo se pudo mover una cuenta de Account Factory directamente de una zona de aterrizaje de la Torre de Control de AWS a otra zona de aterrizaje de la Torre de Control de AWSAWS Support

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Resolución de problemas

Si tiene problemas al utilizar AWS Control Tower, puede utilizar la siguiente información para resolverlos de acuerdo con nuestras prácticas recomendadas. Si los problemas que encuentra están fuera del alcance de la siguiente información o si persisten después de haber intentado resolverlos, póngase en contacto con AWS Support.

Error de lanzamiento de Landing Zone

Causas comunes de fallo en el lanzamiento de la zona de inicio:

  • Falta de respuesta a un mensaje de email de confirmación.

  • AWS CloudFormation StackSet fallo.

Mensajes de correo electrónico de confirmación: si tu cuenta de administración tiene menos de una hora de antigüedad, es posible que surjan problemas al crear las cuentas adicionales.

Acción que debe ejecutarse

Si se produce este problema, compruebe su correo electrónico. Es posible que se le haya enviado un correo electrónico de confirmación que está a la espera de respuesta. También le recomendamos que espere una hora y, a continuación, vuelva a intentarlo. Si el problema persiste, ponte en contacto con AWS Support.

Fallado StackSets: otra posible causa del fallo en el lanzamiento de la zona de landing zone es un AWS CloudFormation StackSet fallo. AWS Las regiones del Security Token Service (STS) deben estar habilitadas en la cuenta de administración de todas AWS las regiones que controla AWS Control Tower para que el aprovisionamiento se realice correctamente; de lo contrario, los conjuntos de pilas no se lanzarán.

Acción que debe ejecutarse

Asegúrese de habilitar todas las regiones de punto final del AWS Security Token Service (STS) requeridas antes de lanzar AWS Control Tower.

Para ver una lista de los Regiones de AWS elementos compatibles con AWS Control Tower, consulteCómo funcionan AWS las regiones con AWS Control Tower.

Error en la zona de aterrizaje no actualizada

Si no ha actualizado su landing zone recientemente, es posible que reciba un mensaje de error al intentar recuperar el acceso a AWS Control Tower. Es posible que aparezca un mensaje de error similar a este:

Unable to access Control Tower

Tu cuenta ha estado inactiva durante demasiado tiempo. Debido a la inactividad, debe actualizar su landing zone para poder acceder a AWS Control Tower.

Sin embargo, la actualización de tu landing zone puede fallar.

Pasos a seguir

Inicie sesión en la cuenta de administración de su organización e inicie sesión como usuario root. Su usuario de IAM o usuario del Centro de Identidad de IAM debe tener permisos de administrador de AWS Control Tower y formar parte del AWSControlTowerAdminsgrupo. A continuación, vuelva a intentar la actualización.

Error en el nuevo aprovisionamiento de cuentas

Si se produce este problema, compruebe estas causas comunes.

Al completar el formulario de aprovisionamiento de cuentas, es posible que haya:

  • especificado tagOptions,

  • activado las notificaciones de SNS,

  • habilitado las notificaciones de productos aprovisionados.

Vuelva a intentar el aprovisionamiento de su cuenta, sin especificar ninguna de esas opciones. Para obtener más información, consulte Aprovisione cuentas con AWS Service Catalog Account Factory .

Otras causas comunes de falla:

  • Si ha creado un plan de productos aprovisionados (para ver los cambios en los recursos), es posible que el aprovisionamiento de cuentas permanezca en estado In progress (En curso) indefinidamente.

  • La creación de una cuenta nueva en Account Factory fallará mientras se estén realizando otros cambios en la configuración de AWS Control Tower. Por ejemplo, mientras se ejecuta un proceso para añadir un control a una OU, Account Factory mostrará un mensaje de error si intenta aprovisionar una cuenta.

Para comprobar el estado de una acción anterior en la Torre de Control de AWS

  • Navegue hasta AWS CloudFormation > StackSets

  • Compruebe cada conjunto de pilas relacionado con AWS Control Tower (prefijo: "AWSControlTower«)

  • Busque AWS CloudFormation StackSets operaciones que aún estén ejecutándose.

Si el aprovisionamiento de cuentas tarda más de una hora, lo mejor es finalizar el proceso de aprovisionamiento e intentarlo de nuevo.

Error al inscribir una cuenta existente

Si intentas inscribir una AWS cuenta existente una vez y no lo consigues, al intentarlo por segunda vez, el mensaje de error podría indicarte que el conjunto de pilas existe. Para continuar, debe quitar el producto aprovisionado en Account Factory.

Si el motivo del primer error de inscripción fue que olvidó crear el rol AWSControlTowerExecution en la cuenta de antemano, el mensaje de error que recibirá correctamente le indicará que cree el rol. Sin embargo, cuando intenta crear el rol, es probable que reciba otro mensaje de error que indica que AWS Control Tower no ha podido crear el rol. Este error se produce porque el proceso se ha completado parcialmente.

En este caso, debe realizar dos pasos de recuperación antes de poder continuar con la inscripción de su cuenta existente. En primer lugar, debe cancelar el producto aprovisionado por Account Factory a través de la AWS Service Catalog consola. A continuación, debe usar la AWS Organizations consola para mover manualmente la cuenta fuera de la unidad organizativa y volver a la raíz. Una vez hecho esto, cree el rol AWSControlTowerExecution en la cuenta y, a continuación, rellene de nuevo el formulario Enroll account (Inscribir cuenta).

Otra posible causa del error de inscripción es que la cuenta tiene recursos de AWS Config existentes. En ese caso, consulta Inscribir cuentas que tengan AWS Config recursos existentes para obtener instrucciones sobre cómo puedes modificar tus recursos existentes.

No se puede actualizar una cuenta de Account Factory

Cuando una cuenta se encuentra en un estado incoherente, no se puede actualizar correctamente desde Account Factory o AWS Service Catalog.

Caso 1: Es posible que aparezca un mensaje de error similar a este:

AWS Control Tower could not baseline VPC in the managed account because of existing resource dependencies.

Causa común: AWS Control Tower siempre elimina la VPC AWS predeterminada durante el aprovisionamiento inicial. Para tener una VPC AWS predeterminada en una cuenta, debe añadirla después de crear la cuenta. AWS Control Tower tiene su propia VPC predeterminada que reemplaza a la AWS VPC predeterminada, a menos que configure Account Factory como se muestra en el tutorial, de modo que AWS Control Tower no aprovisione ninguna VPC en absoluto. Entonces la cuenta no tiene VPC. Tendrías que volver a añadir la VPC AWS predeterminada si quieres usarla.

Sin embargo, AWS Control Tower no admite la AWS VPC predeterminada. La implementación de una hace que la cuenta entre en estado Tainted. Cuando se encuentra en ese estado, no puede actualizar la cuenta de forma automática. AWS Service Catalog

Medida a seguir: debe eliminar la VPC predeterminada que agregó y, a continuación, podrá actualizar la cuenta.

nota

El Tainted estado provoca un problema posterior: una cuenta que no esté actualizada puede impedir la activación de los controles en la unidad organizativa de la que forma parte.

Caso 2: Es posible que veas un mensaje de error similar a este:

AWS Control Tower detects that your enrolled account has been moved to a new organizational unit.

Causa común: intentó mover una cuenta de una OU registrada a otra, pero las antiguas reglas de AWS Config permanecen. La cuenta está en un estado incoherente.

Acción a tomar:

Si el traslado de la cuenta estaba previsto:

  • Cierre la cuenta en Service Catalog.

  • Inscríbala de nuevo.

  • Contexto/impacto: las reglas de AWS Config implementadas no coinciden con la configuración dictada por la OU de destino.

  • AWS Es posible que las reglas de configuración sigan siendo las de la OU anterior, lo que provocará gastos imprevistos.

  • Los intentos de volver a inscribir o actualizar la cuenta fallarán debido a conflictos en los nombres de los recursos.

Si el traslado de la cuenta no fue intencionado:

  • Devuelva la cuenta a su OU original.

  • Actualice la cuenta desde Service Catalog.

  • En los parámetros de lanzamiento, introduzca la unidad organizativa en la que estaba originalmente la cuenta.

  • Contexto o impacto: si la cuenta no vuelve a su OU original, su estado será incompatible con los controles dictados por la nueva OU en la que se encuentra.

  • Actualizar una cuenta no es una solución válida, ya que no elimina AWS Config las reglas asociadas a su unidad organizativa anterior.

No se pudo actualizar la zona de aterrizaje

AWS Control Tower no revierte a una versión anterior de landing zone si se produce un error en una actualización. Es posible que encuentres tu landing zone en un estado indeterminado. Si es así, ponte en contacto con AWS el servicio de asistencia.

Las actualizaciones de la zona de aterrizaje pueden fallar por varios motivos.

  • No se cumplen los requisitos previos

  • AWS Config existen recursos en determinadas cuentas

  • Existen cuentas cerradas

No se cumplen los requisitos previos

La actualización de una zona de aterrizaje debe cumplir los mismos requisitos previos que la configuración de una zona de aterrizaje. Antes de realizar la actualización, revisa las comprobaciones previas al lanzamiento.

AWS Config los recursos existen en las cuentas de Security OU

No añada AWS Config recursos a sus cuentas de archivo de auditoría y registro. El proceso de actualización de la zona de aterrizaje no puede completarse con estos recursos presentes. Estas restricciones son similares a las de registrar una cuenta o configurar una landing zone por primera vez. Para obtener más información, consulte Inscribir cuentas que cuenten con AWS Config recursos existentes.

Existen cuentas cerradas

Cuando una cuenta está cerrada o suspendida, es posible que se produzca un problema al intentar actualizar tu landing zone. Debes eliminar el producto aprovisionado en todas las cuentas cerradas antes de realizar una actualización en la landing zone.

En la página del producto AWS Service Catalog aprovisionado, es posible que veas un mensaje de error similar a este:

AWSControlTowerExecution role can't be assumed on the account.

Causa común: has suspendido una cuenta sin eliminar el producto aprovisionado.

Acción a realizar: si aparece este error, tiene dos opciones:

  1. Póngase en contacto con AWS Support y vuelva a abrir la cuenta, elimine el producto aprovisionado y vuelva a cerrar la cuenta.

  2. Elimine los recursos de los StackSets que quedaron huérfanos debido al cierre de la cuenta. (Esta opción solo está disponible si StackSets tienen instancias en el estado Actual que no va a eliminar).

Para eliminar los recursos de StackSets, haga lo siguiente para cada cuenta cerrada:

  • Vaya a cada una de las Torres de Control StackInstances de AWS StackSets y elimine la cuenta que se haya cerrado de todas las regiones.

  • IMPORTANTE: Elija la opción Retain Stack para StackSet eliminar solo las instancias de la pila. StackSet no puede asumir un rol desde la cuenta cerrada, por lo que fallará si intenta asumir el AWSControlTowerExecution rol, lo que generará el mensaje de error que has recibido.

Error: error que menciona AWS Config

Si AWS Config está habilitada en alguna AWS región compatible con la Torre de Control de AWS, es posible que reciba un mensaje de error porque no se pudo realizar una comprobación previa. Es posible que el mensaje no explique el problema de manera adecuada, debido a algún comportamiento subyacente de AWS Config.

Puede recibir un mensaje de error similar a uno de los siguientes:

  • AWS Control Tower cannot create an AWS Config delivery channel because one already exists. To continue, delete the existing delivery channel and try again
.

  • AWS Control Tower cannot create an AWS Config configuration recorder because one already exists. To continue, delete the existing delivery channel and try again
.

Causa común: cuando el AWS Config servicio está habilitado en una AWS cuenta, crea un registrador de configuración y un canal de entrega con un nombre predeterminado. Si deshabilita el AWS Config servicio a través de la consola, no se elimina el grabador de configuración ni el canal de entrega. Debe eliminarlos mediante la CLI o modificarlos para usarlos en AWS Control Tower. Si el AWS Config servicio está habilitado en alguna de las regiones admitidas por AWS Control Tower, se puede producir un error.

Si la cuenta tiene recursos de AWS Config existentes, consulta Inscribir cuentas que tengan AWS Config recursos existentes para obtener instrucciones sobre cómo puedes modificar tus recursos existentes.

Acción: elimine el grabador de configuración y el canal de entrega en todas las regiones compatibles. No basta con deshabilitar AWS Config, la grabadora de configuración y el canal de entrega deben eliminarse mediante la CLI. Tras eliminar el grabador de configuración y el canal de entrega de la CLI, puede volver a intentar iniciar AWS Control Tower e inscribir la cuenta.

Si se encuentra en el proceso de implementar un producto aprovisionado, debe eliminarlo antes de volver a intentarlo. De lo contrario, es posible que aparezca un mensaje de error similar a este:

  • An error occurred (InvalidParametersException) when calling the ProvisionProduct operation: A stack named Stackname already exists.

En el mensaje, Stacknameespecifica el nombre de la pila.

Estos son algunos ejemplos de comandos AWS Config CLI que puede usar para determinar el estado de su grabadora de configuración y canal de entrega.

Comandos de visualización:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

Comandos de eliminación:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Para obtener más información, consulte la AWS Config documentación

Error: no se encontraron rutas de lanzamiento

Cuando intente crear una cuenta nueva, es posible que aparezca un mensaje de error similar al siguiente:

No launch paths found for resource: prod-dpqqfywxxxx

Este mensaje de error lo genera AWS Service Catalog, que es el servicio integrado que ayuda a aprovisionar cuentas en AWS Control Tower.

Causas comunes:

  • Puede que haya iniciado sesión como root. AWS Control Tower no admite la creación de cuentas si ha iniciado sesión como usuario root.

  • Su usuario del Centro de Identidad de IAM no se ha añadido al grupo de permisos correspondiente. Es posible que deba añadir su usuario del Centro de Identidad de IAM a uno de estos grupos de permisos: AWSAccountFactory(para el acceso de los usuarios finales) o AWSServiceCatalogAdmins(para el acceso de administrador).

  • Si está autenticado como usuario de IAM, debe añadirlo a la AWS Service Catalog cartera para que tenga los permisos correctos.

  • Este problema también se produce si tiene los permisos correctos, pero se detecta una desviación en la Torre de Control de AWS y es necesario repararla. Para reparar la mayoría de los tipos de desviación, seleccione Restablecer en la página de configuración de la zona de aterrizaje.

Se ha recibido un error de permisos insuficientes

Es posible que tu cuenta no tenga los permisos necesarios para realizar determinadas tareas en determinadas áreas AWS Organizations. Si se produce el siguiente tipo de error, compruebe todas las áreas de permisos, como los permisos de IAM o del Centro de Identidad de IAM, para asegurarse de que no se le deniegue el permiso desde esos lugares:

You have insufficient permissions to perform AWS Organizations API actions.

Si cree que su trabajo requiere la acción que está intentando realizar y no encuentra ninguna restricción relevante, póngase en contacto con el administrador del sistema o con AWS Support.

Los controles de Detectives no entran en vigor en las cuentas

Si ha ampliado recientemente su implementación de la Torre de Control de AWS a una nueva AWS región, los controles de detección recién aplicados no se aplicarán a las cuentas nuevas que cree en ninguna región hasta que se actualicen las cuentas individuales de las unidades organizativas gobernadas por la Torre de Control de AWS. Los controles de detección existentes en las cuentas existentes siguen en vigor.

Si intentas activar un control policial antes de actualizar tus cuentas, es posible que aparezca un mensaje de error similar al siguiente:

AWS Control Tower can't enable the selected control on this OU. AWS Control Tower cannot apply the control on the OU ou-xxx-xxxxxxxx, because child accounts have dependencies that are missing. Update all child accounts under the OU, then try again.

Acción que se debe ejecutar: actualizar cuentas.

Para actualizar sus cuentas desde la consola de AWS Control Tower, consulteCuándo actualizar la Torre AWS de Control OUs y las cuentas.

Para actualizar varias cuentas individuales mediante programación, puede utilizar las API AWS Service Catalog y la AWS CLI para automatizar las actualizaciones. Para obtener más información acerca de cómo abordar el proceso de actualización, consulte esto Tutorial en vídeo.  Puede sustituir la UpdateProvisionedProductAPI que se muestra en el ProvisionProductvídeo por la API.

Si tiene más dificultades para activar los controles de detección en sus cuentas, póngase en contacto con AWS Support.

Error de tasa superada devuelto por la AWS Organizations API

Causa posible

Su carga de trabajo se estaba ejecutando mientras la Torre de Control de AWS realizaba un análisis diario para comprobar si sus SCP se habían desviado.

Pasos a seguir

Si encuentras una limitación o un rate exceeded error en la API, sigue estos pasos:

  • Ejecute sus cargas de trabajo en otro momento. (Consulte el programa de escaneos de invariancia SCP de AWS Control Tower por región para saber cuándo AWS Control Tower ejecuta sus escaneos de auditoría).

  • Si llama a las API directamente a través de HTTP: utilice el AWS SDK, que reintenta automáticamente las acciones fallidas

  • Solicita un aumento del límite a través de Service Quotas and AWS Support

Puede encontrar un ejemplo de instrucciones de solución de problemas para la limitación de API en Elastic Beanstalk aquí: https://aws.amazon.com/premiumsupport/knowledge-center/elastic-beanstalk-api-throttling-errors/

No se pudo mover una cuenta de Account Factory directamente de una zona de aterrizaje de la Torre de Control de AWS a otra zona de aterrizaje de la Torre de Control de AWS

aviso

Esta práctica no cumple con el requisito previo para la inscripción de cuentas aptas, ya que las cuentas aptas deben formar parte de la misma organización general de AWS y cada organización puede tener solo una landing zone. Si ha intentado realizar esta acción y recibe varios mensajes de error, aquí encontrará información que puede resultarle útil.

Para mover una cuenta que ha aprovisionado a través de Account Factory a otra landing zone gestionada por AWS Control Tower, a otra cuenta de administración, debe eliminar todas las funciones de IAM y las pilas asociadas a esa cuenta de la OU original. Elimine estos recursos de todas las regiones en las que esté desplegada la cuenta.

nota

La mejor forma de eliminar los recursos es desaprovisionar la cuenta en su unidad organizativa original antes de intentar moverla.

Si no se eliminan los recursos, la inscripción en la nueva unidad organizativa no se podrá realizar de forma espectacular. Es posible que reciba uno o más mensajes de error y seguirá recibiendo mensajes de error similares hasta que se eliminen las funciones y grupos restantes de todas las regiones en las que se desplegó la cuenta.

Cada vez que reciba un mensaje de error, deberá eliminar la cuenta de la nueva unidad organizativa, eliminar el recurso anterior objeto del mensaje de error y, a continuación, intentar volver a mover la cuenta a la nueva unidad organizativa. Este proceso removing-and-deleting debe repetirse para todos los recursos restantes, para cada región en la que se implementó la cuenta, posiblemente 10 o 20 veces. Estos errores recurrentes se producen porque la cuenta se aprovisionó en una unidad organizativa con un SCP que impide la eliminación de la función de IAM. Puede acortar el proceso de recuperación eliminando todos los recursos de la cuenta antes de volver a intentarlo.

Los ejemplos que aparecen a continuación representan los tipos de mensajes de error que puede recibir si permanecen funciones y pilas sin eliminar. Lo más probable es que veas uno de estos mensajes a la vez cada vez que intentes inscribir la cuenta, siempre y cuando queden recursos antiguos.

Los valores de las cadenas de ID de recurso se han modificado para los ejemplos. Sus valores no serán los mismos en un mensaje de error que pueda recibir. Es posible que veas un mensaje similar a los siguientes ejemplos:

  • AWS Control Tower cannot create the IAM role aws-controltower-AdministratorExecutionRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ConfigRecorderRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ForwardSnsNotificationRole because the role already exists. To continue, delete the existing IAM role and try again.

O puede que veas un mensaje de error sobre un error en un conjunto de pilas, similar a este:

 
"Error\":\"StackSetFailState\",
\"Cause\":\"StackSetOperation on AWSControlTowerBP-BASELINE-CLOUDWATCH 
with id 8aXXXXf5-e0XX-4XXa-bc4XX-dXXXXXee31 
has reached SUCCEEDED state but has 1 NON-CURRENT stack instances; 
here is the summary :{ StackSet Id: 
AWSControlTowerBP-BASELINE-CLOUDWATCH:40XXXbf2-Xead-46a1-XXXa-eXXXXecb2ee2, 
Stack instance Id: 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458, 
Status: OUTDATED, 
Status Reason: ResourceLogicalId:ForwardSnsNotification, 
ResourceType:AWS::Lambda::Function, 
ResourceStatusReason:aws-controltower-NotificationForwarder already exists in stack 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458.

Una vez que se hayan eliminado todos los recursos restantes de la primera OU, podrá invitar, aprovisionar o inscribir la cuenta en la nueva OU correctamente.

AWS Support

Si desea trasladar sus cuentas de miembro existentes a otro plan de soporte, puede iniciar sesión en cada cuenta con credenciales de cuenta raíz, comparar planes y establecer el nivel de soporte que prefiera.

Le recomendamos que actualice la MFA y los contactos de seguridad de la cuenta cuando realice cambios en el plan de soporte.