Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Guide de dépannage d'Account Factory pour Terraform (AFT)
Cette section peut vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Account Factory for Terraform (AFT).
Rubriques
Problèmes généraux
-
Quotas AWS de ressources dépassés
Si vos groupes de journaux indiquent que vous avez dépassé les quotas de AWS ressources, contactez le AWS Support
. Account Factory utilise Services AWS des quotas de ressources qui incluent AWS CodeBuild AWS Organizations, et AWS Systems Manager. Pour plus d’informations, consultez les ressources suivantes : -
Qu'est-ce que c'est AWS CodeBuild ? dans le guide de CodeBuild l'utilisateur.
-
Qu'est-ce que c'est AWS Organizations ? dans le Guide de l'utilisateur des Organizations.
-
Qu'est-ce que c'est AWS Systems Manager ? dans le Guide de l'utilisateur de Systems Manager.
-
-
Version obsolète d'Account Factory
Si vous rencontrez un problème et pensez qu'il s'agit d'un bogue, assurez-vous de disposer de la dernière version d'Account Factory. Pour plus d'informations, consultez Mettre à jour la version d'Account Factory.
-
Des modifications locales ont été apportées au code source d'Account Factory
Account Factory est un projet open source. AWS Control Tower prend en charge le code de base d'Account Factory. Si vous apportez une modification locale au code de base d'Account Factory, AWS Control Tower ne prend en charge votre déploiement d'Account Factory que dans la mesure du possible.
-
Autorisations de rôle Account Factory insuffisantes
Account Factory crée des rôles et des politiques IAM pour gérer les déploiements et les personnalisations de comptes vendus. Si vous modifiez ces rôles ou politiques, le pipeline Account Factory risque de ne pas être en mesure d'effectuer certaines actions. Pour plus d'informations, consultez la section Rôles obligatoires.
-
Les référentiels de comptes ne sont pas correctement renseignés
Assurez-vous de suivre les étapes postérieures au déploiement avant de provisionner des comptes.
-
Ne pas détecter la dérive après avoir changé l'unité d'organisation manuellement
Note
AWS Control Tower détecte automatiquement la dérive. Pour plus d'informations sur la résolution de la dérive, consultez la section Détecter et résoudre la dérive dans AWS Control Tower.
La dérive n'est pas détectée lorsque l'unité organisationnelle (UO) est modifiée manuellement. Cela est dû à la nature événementielle d'Account Factory. Lorsqu'une demande de compte est soumise, la ressource gérée par Terraform est un élément Amazon DynamoDB, et non un compte direct. Une fois qu'un élément est modifié, la demande est placée dans une file d'attente, où AWS Control Tower la traite via Service Catalog (le service qui gère les détails du compte). Si vous modifiez l'unité d'organisation manuellement, la dérive n'est pas détectée car la demande de compte n'a pas changé.
Problèmes liés à l'ouverture et à l'enregistrement du compte
-
La demande de compte (adresse e-mail/nom) existe déjà
Le problème entraîne généralement une défaillance du produit Service Catalog lors du provisionnement ou en tant que
ConditionalCheckFailedException.Vous pouvez obtenir plus d'informations sur le problème en procédant de l'une des manières suivantes :
-
Passez en revue vos groupes de journaux Terraform ou CloudWatch Logs.
-
Passez en revue les échecs signalés dans la rubrique Amazon SNS.
aft-failure-notifications
-
-
Demande de compte mal formée
Assurez-vous que votre demande de compte suit le schéma attendu. Pour des exemples, consultez terraform-aws-control_tower_account_factory
on. GitHub -
Quotas de ressources dépassés pour les AWS Organisations
Assurez-vous que votre demande de compte ne dépasse pas les quotas de AWS Organizations ressources. Pour plus d'informations, consultez la section Quotas pour AWS les organisations.
Problèmes liés à l'invocation des personnalisations
-
Le compte cible n'est pas intégré à Account Factory
Assurez-vous que tous les comptes inclus dans une demande de personnalisation ont été intégrés à Account Factory. Pour plus d'informations, voir Mettre à jour un compte existant.
-
Le compte ciblé par la demande de personnalisation existe dans la
aft-request-metadatatable DynamoDB, mais pas dans le référentiel des demandes de compteFormatez votre demande d'invocation de personnalisation pour exclure le compte incriminé en effectuant l'une des opérations suivantes :
-
Dans le
aft-request-metadatatableau DynamoDB, supprimez l'entrée faisant référence au compte qui ne figure plus dans le référentiel de demandes de compte. -
Ne pas utiliser « tous » comme cible.
-
Ne pas cibler l'unité d'organisation à laquelle appartient le compte.
-
Ne pas cibler directement le compte.
-
-
Jeton incorrect utilisé pour Terraform Cloud
Assurez-vous d'avoir configuré le bon jeton. Terraform Cloud ne prend en charge que les jetons basés sur l'équipe, et non les jetons basés sur l'organisation.
-
Impossible de créer le compte avant la création du pipeline de personnalisation du compte ; impossible de personnaliser le compte
Apportez une modification à la spécification du compte dans le référentiel des demandes de compte. Lorsque vous apportez une modification, telle que la modification de la valeur d'une balise pour un compte, Account Factory suit le chemin qui tente de créer le pipeline, même si celui-ci n'existe pas.
Problèmes liés au flux de travail de personnalisation des comptes
Si vous rencontrez des problèmes liés au flux de personnalisation des comptes, assurez-vous que votre version d'AFT est 1.8.0 ou supérieure et que vous supprimez toutes les instances de métadonnées relatives au compte de votre table de requêtes DynamoDB.
Pour plus d'informations sur la version 1.8.0 d'AFT, voir la version 1.8.0
Pour plus d'informations sur la façon de vérifier et de mettre à jour votre version d'AFT, consultez ce qui suit :
Vous pouvez également suivre et résoudre les demandes de personnalisation en utilisant les requêtes Amazon CloudWatch Logs Insights pour filtrer les journaux contenant votre compte cible et les identifiants de demande de personnalisation. Pour plus d'informations, consultez la section Résolution des problèmes liés au suivi des demandes de personnalisation du compte AFT.
