Causes courantes d'échec lors de l'enregistrement ou du réenregistrement - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Causes courantes d'échec lors de l'enregistrement ou du réenregistrement

En général, lorsque vous enregistrez ou réenregistrez une unité d'organisation, tous les comptes de cette unité d'organisation sont inscrits dans AWS Control Tower. Cependant, il est possible que l'inscription de certains comptes échoue, même si l'unité d'organisation dans son ensemble est correctement enregistrée. Dans ces cas, vous devez résoudre l'échec de la vérification préalable lié au compte, puis essayer de réinscrire ce compte ou cette unité d'organisation.

Si l'enregistrement (ou le réenregistrement) d'une unité d'organisation ou de l'un de ses comptes membres échoue, AWS Control Tower renvoie des messages d'erreur pour les comptes des membres concernés. Vous pouvez consulter les messages d'erreur sur la page des détails de l'unité d'organisation, où un tableau regroupe les prévérifications et les messages d'erreur du compte. Si une opération d'enregistrement de l'unité d'organisation échoue, le tableau affiche tous les messages d'erreur pour tous les comptes de l'unité d'organisation. Si nécessaire, vous pouvez également consulter les messages d'erreur sur la page des détails du compte pour chaque compte.

Vous pouvez éventuellement télécharger un fichier contenant un rapport détaillé indiquant les prévérifications qui n'ont pas été validées, pour une analyse hors ligne. Vous pouvez terminer le téléchargement en cliquant sur le bouton Télécharger, qui apparaît en haut à droite de la zone d'enregistrement.

Cette section répertorie les types d'erreurs que vous pouvez recevoir en cas d'échec des vérifications préalables et indique comment les corriger.

Erreur de zone d'atterrissage

  • La zone d'atterrissage n'est pas prête

    Réinitialisez votre zone d'atterrissage actuelle ou mettez-la à jour avec la dernière version.

Erreurs de l'UO

  • Dépasse le nombre maximum de SCPs

    Vous avez peut-être dépassé la limite des politiques de contrôle des services (SCPs) par unité d'organisation, ou vous avez peut-être atteint un autre quota. Une limite de 5 SCPs par unité d'organisation s'applique à toutes les personnes OUs présentes dans la zone d'atterrissage de votre AWS Control Tower. Si vous avez SCPs plus que le quota autorisé, vous devez supprimer ou combiner lesSCPs.

  • En conflit SCPs

    L'existant SCPs peut être appliqué à l'unité d'organisation ou au compte, ce qui empêche AWS Control Tower d'enregistrer le compte. Vérifiez la politique appliquée SCPs qui pourrait empêcher AWS Control Tower de fonctionner. Assurez-vous de vérifier ceux SCPs qui sont hérités du OUs niveau supérieur de la hiérarchie.

  • Dépasse le quota défini pour les piles

    Le quota du stack set a peut-être été dépassé. Si vous avez plus d'instances que le quota ne le permet, vous devez supprimer certaines instances de pile. Pour plus d’informations, consultez .AWS CloudFormation quotas dans le AWS CloudFormation Guide de l'utilisateur.

  • Dépasse la limite du compte

    AWSControl Tower limite chaque UO à 300 comptes lors de l'enregistrement.

Erreurs liées au compte

  • Contrôles préalables empêchés sur les comptes

    Une présence SCP sur l'UO empêche AWS Control Tower d'effectuer des vérifications préalables sur les comptes des membres de l'UO. Pour résoudre cet échec de pré-vérification, mettez-le à jour ou supprimez-le SCP de l'UO.

  • Erreur d'adresse e-mail

    L'adresse e-mail que vous avez spécifiée pour le compte n'est pas conforme aux normes de dénomination. Voici l'expression régulière (regex) qui indique quels caractères sont autorisés : [A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+

  • Enregistreur de configuration ou canal de diffusion activé

    Le compte a peut-être déjà un AWS Config enregistreur de configuration ou canal de distribution. Ils doivent être supprimés ou modifiés par le biais du AWS CLI en tout AWS Régions dans lesquelles le compte de gestion AWS Control Tower a régi les ressources, avant que vous ne puissiez créer un compte.

  • STShandicapé

    AWS Security Token Service (AWS STS) peut être désactivé dans le compte. AWS STSles points de terminaison doivent être activés dans les comptes de toutes les régions prises en charge par AWS Control Tower.

  • IAMConflit lié au centre d'identité

    La région d'origine de la AWS Control Tower n'est pas la même que AWS IAM Identity Center Région (IAMIdentity Center). Si IAM Identity Center est déjà configuré, la région d'origine de la AWS Control Tower doit être identique à la région IAM Identity Center.

  • SNSSujet contradictoire

    Le compte possède un nom de rubrique Amazon Simple Notification Service (AmazonSNS) que AWS Control Tower doit utiliser. AWSControl Tower crée des ressources (telles que SNS des rubriques) portant des noms spécifiques. Si ces noms sont déjà utilisés, la configuration AWS de Control Tower échoue. Cette situation peut se produire si vous réutilisez un compte précédemment inscrit à AWS Control Tower.

  • Compte suspendu détecté

    Ce compte a été suspendu. Il ne peut pas être inscrit dans AWS Control Tower. Supprimez le compte de cette unité d'organisation et réessayez.

  • IAMutilisateur ne figurant pas dans le portefeuille

    Ajoutez le AWS Identity and Access Management (IAM) utilisateur du portefeuille Service Catalog avant d'enregistrer votre unité d'organisation. Cette erreur concerne uniquement le compte de gestion.

  • Le compte ne répond pas aux prérequis

    Le compte ne répond pas aux conditions requises pour l'inscription au compte. Par exemple, il se peut que le compte ne comporte pas les rôles et les autorisations nécessaires pour l'inscrire à AWS Control Tower. Les instructions pour ajouter un rôle sont disponibles dansAjoutez manuellement le rôle IAM requis à un rôle existant Compte AWS et inscrivez-le.

Pour rappel, AWS CloudTrail est activé automatiquement sur tous vos AWS comptes lorsque vous les inscrivez dans AWS Control Tower. Si cette option CloudTrail est activée sur un compte avant l'inscription, vous risquez de subir une double facturation, sauf si vous la désactivez CloudTrail avant de commencer le processus d'inscription.