Résolution des problèmes - AWS Control Tower
Échec de lancement de la zone de destinationErreur indiquant que la zone d'atterrissage n'est pas à jourÉchec du provisionnement du nouveau compteÉchec de l'inscription d'un compte existantImpossible de mettre à jour un compte Account FactoryImpossible de mettre à jour la zone d'atterrissageErreur de défaillance mentionnant AWS ConfigErreur Aucun chemin de lancement trouvéRéception d'une erreur Autorisations insuffisantesLes contrôles Detective n'ont aucun effet sur les comptesErreur de dépassement du taux renvoyée par l' AWS Organizations APIImpossible de déplacer un compte Account Factory directement d'une zone d'atterrissage d'AWS Control Tower vers une autre zone d'atterrissage d'AWS Control TowerAWS Support

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes

Si vous rencontrez des problèmes lors de l'utilisation d'AWS Control Tower, vous pouvez utiliser les informations suivantes pour les résoudre conformément à nos meilleures pratiques. Si les problèmes que vous rencontrez ne sont pas couverts par les informations suivantes, ou s'ils persistent après avoir essayé de les résoudre, contactez le AWS Support.

Échec de lancement de la zone de destination

Causes courantes d'échec du lancement de la zone de destination :

  • Absence de réponse à un message électronique de confirmation.

  • AWS CloudFormation StackSet échec.

Messages électroniques de confirmation : si votre compte de gestion date de moins d'une heure, vous pouvez rencontrer des problèmes lors de la création des comptes supplémentaires.

Action à exécuter

Si vous rencontrez ce problème, vérifiez votre e-mail. Vous avez peut-être reçu un e-mail de confirmation qui est en attente de réponse. Sinon, nous vous recommandons d'attendre une heure, puis de réessayer. Si le problème persiste, contactez le AWS Support.

Échec StackSets : L'échec du lancement dans la zone d'atterrissage est une autre cause possible AWS CloudFormation StackSet d'échec. AWS Les régions Security Token Service (STS) doivent être activées dans le compte de gestion pour toutes les AWS régions gouvernées par AWS Control Tower, afin que le provisionnement puisse réussir ; sinon, les stack sets ne pourront pas être lancés.

Action à exécuter

Assurez-vous d'activer toutes les régions de point de terminaison STS ( AWS Security Token Service) requises avant de lancer AWS Control Tower.

Pour consulter la liste des produits Régions AWS pris en charge par AWS Control Tower, consultezComment AWS les régions fonctionnent avec AWS Control Tower.

Erreur indiquant que la zone d'atterrissage n'est pas à jour

Si vous n'avez pas récemment mis à jour votre zone de landing zone, il se peut que vous receviez un message d'erreur lorsque vous tenterez de regagner l'accès à AWS Control Tower. Un message d'erreur similaire à celui-ci peut s'afficher :

Unable to access Control Tower

Votre compte est inactif depuis trop longtemps. En raison de votre inactivité, vous devez mettre à jour votre zone de landing zone pour accéder à AWS Control Tower.

Cependant, la mise à jour de votre zone d'atterrissage peut échouer.

Étapes à suivre

Connectez-vous au compte de gestion de votre organisation et connectez-vous en tant qu'utilisateur root. Votre utilisateur IAM ou utilisateur dans IAM Identity Center doit disposer des autorisations d'administrateur AWS Control Tower et faire partie du AWSControlTowerAdminsgroupe. Réessayez ensuite la mise à jour.

Échec du provisionnement du nouveau compte

Si vous rencontrez ce problème, recherchez parmi les causes les plus courantes.

Lorsque vous avez rempli le formulaire de provisionnement du compte, vous pouvez avoir :

  • tagOptions spécifié,

  • notifications SNS activées,

  • notifications de produits provisionnés activées.

Réessayez de provisionner votre compte, sans spécifier aucune de ces options. Pour de plus amples informations, veuillez consulter Provisionner des comptes avec AWS Service Catalog Account Factory .

Autres causes communes d'échec :

  • Si vous avez créé un plan produit provisionné (pour afficher les modifications des ressources), le provisionnement de votre compte peut rester indéfiniment dans l'état In progress (En cours).

  • La création d'un nouveau compte dans Account Factory échouera alors que d'autres modifications de configuration d'AWS Control Tower sont en cours. Par exemple, alors qu'un processus est en cours d'exécution pour ajouter un contrôle à une unité d'organisation, Account Factory affiche un message d'erreur si vous essayez de configurer un compte.

Pour vérifier le statut d'une action précédente dans AWS Control Tower

  • Naviguez vers AWS CloudFormation > StackSets

  • Vérifiez chaque ensemble de piles associé à AWS Control Tower (préfixe : « AWSControl Tower »)

  • Recherchez les AWS CloudFormation StackSets opérations toujours en cours.

Si le provisionnement de votre compte prend plus d'une heure, il est préférable de mettre fin au processus de provisionnement et de réessayer.

Échec de l'inscription d'un compte existant

Si vous essayez une fois d'inscrire un AWS compte existant et que cette inscription échoue, le message d'erreur peut vous indiquer que le stack set existe lors de la deuxième tentative. Pour continuer, vous devez supprimer le produit provisionné dans Account Factory.

Si la raison du premier échec d'inscription était que vous aviez oublié de créer le rôle AWSControlTowerExecution dans le compte à l'avance, le message d'erreur que vous recevrez vous demandera à juste titre de créer le rôle. Toutefois, lorsque vous essayez de créer le rôle, vous êtes susceptible de recevoir un autre message d'erreur indiquant qu'AWS Control Tower n'a pas pu le créer. Cette erreur se produit car le processus a été partiellement terminé.

Dans ce cas, vous devez effectuer deux étapes de récupération avant de pouvoir procéder à l'inscription de votre compte existant. Tout d'abord, vous devez résilier le produit approvisionné par Account Factory via la AWS Service Catalog console. Ensuite, vous devez utiliser la AWS Organizations console pour déplacer manuellement le compte hors de l'unité d'organisation et le ramener à la racine. Après cela, créez le rôle AWSControlTowerExecution dans le compte, puis remplissez à nouveau le formulaire Inscrire un compte.

Une autre cause possible d'échec d'inscription est que le compte dispose de ressources AWS Config existantes. Dans ce cas, consultez la section Inscrire des comptes disposant de AWS Config ressources existantes pour savoir comment modifier vos ressources existantes.

Impossible de mettre à jour un compte Account Factory

Lorsqu'un compte est dans un état incohérent, il ne peut pas être mis à jour correctement depuis Account Factory ou AWS Service Catalog.

Cas 1 : Vous pouvez rencontrer un message d'erreur similaire à celui-ci :

AWS Control Tower could not baseline VPC in the managed account because of existing resource dependencies.

Cause courante : AWS Control Tower supprime toujours le VPC AWS par défaut lors du provisionnement initial. Pour avoir un VPC AWS par défaut dans un compte, vous devez l'ajouter après la création du compte. AWS Control Tower possède son propre VPC par défaut qui remplace le AWS VPC par défaut, sauf si vous configurez Account Factory comme indiqué dans la procédure pas à pas, afin qu'AWS Control Tower ne fournisse aucun VPC. Ensuite, le compte n'a pas de VPC. Vous devrez ajouter à nouveau le VPC AWS par défaut si vous souhaitez utiliser celui-ci.

Cependant, AWS Control Tower ne prend pas en charge le AWS VPC par défaut. Si vous en déployez un, le compte entre dans l'état Tainted. Lorsqu'il est dans cet état, vous ne pouvez pas mettre à jour le compte via AWS Service Catalog.

Action à mettre en œuvre : vous devez supprimer le VPC par défaut que vous avez ajouté, puis vous pourrez mettre à jour le compte.

Note

Cet Tainted état entraîne un problème complémentaire : un compte qui n'est pas mis à jour peut empêcher l'activation des contrôles sur l'unité organisationnelle dont il fait partie.

Cas 2 : un message d'erreur similaire à celui-ci peut s'afficher :

AWS Control Tower detects that your enrolled account has been moved to a new organizational unit.

Cause fréquente : vous avez tenté de déplacer un compte d'une unité d'organisation enregistrée vers une autre, mais les anciennes règles de AWS configuration sont conservées. Le compte est dans un état incohérent.

Mesures à prendre :

Si le transfert de compte était prévu :

  • Résiliez le compte dans Service Catalog.

  • Inscrivez-le à nouveau.

  • Contexte/impact : les règles de AWS configuration déployées ne correspondent pas à la configuration dictée par l'unité d'organisation de destination.

  • AWS Les règles de configuration peuvent être conservées par rapport à l'unité d'organisation précédente, ce qui entraîne des dépenses imprévues.

  • Les tentatives de réinscription ou de mise à jour du compte échoueront en raison de conflits de dénomination des ressources.

Si le transfert de compte n'était pas intentionnel :

  • Rétablissez le compte dans son unité d'organisation d'origine.

  • Mettez à jour le compte depuis Service Catalog.

  • Dans les paramètres de lancement, entrez l'unité d'organisation dans laquelle le compte se trouvait à l'origine.

  • Contexte/impact : Si le compte n'est pas renvoyé dans son unité d'organisation d'origine, son état ne sera pas conforme aux contrôles dictés par la nouvelle unité d'organisation dans laquelle il se trouve.

  • La mise à jour d'un compte n'est pas une correction valide, car elle ne supprime pas les AWS Config règles associées à son unité d'organisation précédente.

Impossible de mettre à jour la zone d'atterrissage

AWS Control Tower ne revient pas à une version précédente de la zone d'atterrissage en cas d'échec d'une mise à jour. Il se peut que votre zone d'atterrissage soit dans un état indéterminé. Si tel est le cas, contactez AWS le support.

Les mises à jour de la zone d'atterrissage peuvent échouer pour plusieurs raisons.

  • Conditions préalables non remplies

  • AWS Config des ressources existent dans certains comptes

  • Des comptes fermés existent

Conditions préalables non remplies

Une mise à jour de zone d'atterrissage doit répondre aux mêmes exigences que la configuration d'une zone d'atterrissage. Avant de procéder à la mise à jour, passez en revue les vérifications préalables au lancement.

AWS Config des ressources existent dans les comptes de l'unité d'organisation de sécurité

N'ajoutez pas de AWS Config ressources dans vos comptes d'archivage d'audit et de journal. Le processus de mise à jour de la zone d'atterrissage ne peut pas être terminé en présence de ces ressources. Ces restrictions sont similaires à celles applicables à l'ouverture d'un compte ou à la création d'une zone de landing zone pour la première fois. Pour plus d'informations, voir Inscrire des comptes disposant de AWS Config ressources existantes.

Des comptes fermés existent

Lorsqu'un compte est fermé ou suspendu, vous pouvez rencontrer un problème lorsque vous essayez de mettre à jour votre zone de landing zone. Vous devez supprimer le produit approvisionné sur chaque compte fermé avant d'effectuer une mise à jour de la zone de landing zone.

Sur la page du produit AWS Service Catalog approvisionné, vous pouvez voir un message d'erreur similaire à celui-ci :

AWSControlTowerExecution role can't be assumed on the account.

Cause fréquente : vous avez suspendu un compte sans supprimer le produit approvisionné.

Action à effectuer : Si cette erreur s'affiche, deux options s'offrent à vous :

  1. Contactez le AWS Support et rouvrez le compte, supprimez le produit approvisionné, puis fermez-le à nouveau.

  2. Supprimez les ressources du StackSets qui sont devenues orphelines en raison de la fermeture du compte. (Cette option n'est disponible que s' StackSets ils contiennent des instances à l'état actuel que vous ne supprimez pas.)

Pour supprimer les ressources du StackSets, procédez comme suit pour chaque compte fermé :

  • Accédez à chacune des AWS Control Tower StackSets et supprimez-les StackInstances de chaque région, pour le compte qui a été fermé.

  • IMPORTANT : Choisissez l'option Retain Stack afin de StackSet supprimer uniquement les instances de pile. StackSet ne peut pas assumer un rôle depuis le compte fermé. Il échouera donc s'il essaie d'assumer le AWSControlTowerExecution rôle, ce qui entraîne le message d'erreur que vous avez reçu.

Erreur de défaillance mentionnant AWS Config

S'il AWS Config est activé dans n'importe quelle AWS région prise en charge par AWS Control Tower, vous pouvez recevoir un message d'erreur en raison de l'échec d'une pré-vérification. Le message peut ne pas expliquer correctement le problème, en raison d'un comportement sous-jacent de AWS Config.

Vous pouvez recevoir un message d'erreur similaire à l'un des suivants :

  • AWS Control Tower cannot create an AWS Config delivery channel because one already exists. To continue, delete the existing delivery channel and try again
.

  • AWS Control Tower cannot create an AWS Config configuration recorder because one already exists. To continue, delete the existing delivery channel and try again
.

Cause courante : lorsque le AWS Config service est activé sur un AWS compte, il crée un enregistreur de configuration et un canal de diffusion avec un nom par défaut. Si vous désactivez le AWS Config service via la console, il ne supprime pas l'enregistreur de configuration ni le canal de diffusion. Vous devez les supprimer via la CLI ou les modifier pour les utiliser dans AWS Control Tower. Si le AWS Config service est activé dans l'une des régions prises en charge par AWS Control Tower, cela peut entraîner cet échec.

Si le compte possède des ressources AWS Config existantes, voir Inscrire des comptes dotés de AWS Config ressources existantes pour savoir comment modifier vos ressources existantes.

Action à entreprendre : supprimez l'enregistreur de configuration et le canal de livraison dans toutes les régions prises en charge. La désactivation de AWS Config ne suffit pas, l'enregistreur de configuration et le canal de livraison doivent être supprimés au moyen de la CLI. Après avoir supprimé l'enregistreur de configuration et le canal de diffusion de la CLI, vous pouvez réessayer de lancer AWS Control Tower et d'enregistrer le compte.

Si vous êtes en train de déployer un produit provisionné, vous devez le supprimer avant de réessayer. Dans le cas contraire, un message d'erreur similaire à celui-ci peut s'afficher :

  • An error occurred (InvalidParametersException) when calling the ProvisionProduct operation: A stack named Stackname already exists.

Dans le message, Stackname indique le nom de la pile.

Voici quelques exemples de commandes AWS Config CLI que vous pouvez utiliser pour déterminer l'état de votre enregistreur de configuration et de votre canal de diffusion.

Commandes d'affichage :

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

Commandes de suppression :

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Pour plus d'informations, consultez la AWS Config documentation

Erreur Aucun chemin de lancement trouvé

Lorsque vous essayez de créer un nouveau compte, un message d'erreur similaire à celui-ci peut s'afficher :

No launch paths found for resource: prod-dpqqfywxxxx

Ce message d'erreur est généré par AWS Service Catalog, qui est le service intégré qui permet de provisionner des comptes dans AWS Control Tower.

Causes courantes :

  • Vous êtes peut-être connecté en tant que root. AWS Control Tower ne prend pas en charge la création de comptes lorsque vous êtes connecté en tant qu'utilisateur root.

  • L'utilisateur de votre IAM Identity Center n'a pas été ajouté au groupe d'autorisations approprié. Vous devrez peut-être ajouter votre utilisateur IAM Identity Center à l'un de ces groupes d'autorisations : AWSAccountFactory (pour l'accès utilisateur final) ou AWSServiceCatalogAdmins(pour l'accès administrateur).

  • Si vous êtes authentifié en tant qu'utilisateur IAM, vous devez l'ajouter au AWS Service Catalog portefeuille afin qu'il dispose des autorisations appropriées.

  • Ce problème se produit également si vous disposez des autorisations appropriées, mais qu'une dérive d'AWS Control Tower est détectée et qu'une réparation de la dérive est nécessaire. Pour réparer la plupart des types de dérive, choisissez Réinitialiser sur la page des paramètres de la zone d'atterrissage.

Réception d'une erreur Autorisations insuffisantes

Il est possible que votre compte ne dispose pas des autorisations nécessaires pour effectuer certaines tâches dans certains cas AWS Organizations. Si vous rencontrez le type d'erreur suivant, vérifiez tous les domaines d'autorisation, tels que les autorisations IAM ou IAM Identity Center, pour vous assurer que votre autorisation n'est pas refusée depuis ces endroits :

You have insufficient permissions to perform AWS Organizations API actions.

Si vous pensez que votre travail nécessite l'action que vous tentez d'effectuer et que vous ne trouvez aucune restriction pertinente, contactez votre administrateur système ou le AWS Support.

Les contrôles Detective n'ont aucun effet sur les comptes

Si vous avez récemment étendu le déploiement de votre tour de contrôle AWS à une nouvelle AWS région, les contrôles de détection nouvellement appliqués ne prennent effet sur les nouveaux comptes que vous créez dans aucune région tant que les comptes individuels OUs régis par AWS Control Tower ne sont pas mis à jour. Les contrôles de détection existants sur les comptes existants sont toujours en vigueur.

Si vous essayez d'activer un contrôle de détection avant de mettre à jour vos comptes, un message d'erreur similaire à celui-ci peut s'afficher :

AWS Control Tower can't enable the selected control on this OU. AWS Control Tower cannot apply the control on the OU ou-xxx-xxxxxxxx, because child accounts have dependencies that are missing. Update all child accounts under the OU, then try again.

Action à exécuter : mettre à jour les comptes.

Pour mettre à jour vos comptes depuis la console AWS Control Tower, consultezQuand mettre à jour AWS Control Tower OUs et ses comptes.

Pour mettre à jour plusieurs comptes individuels par programmation, vous pouvez utiliser le formulaire AWS Service Catalog et la APIs AWS CLI pour automatiser les mises à jour. Pour plus d'informations sur l'approche à adopter en matière de mise à jour, consultez cette Vidéo de procédure.  Vous pouvez remplacer l'UpdateProvisionedProductProvisionProductAPI présentée dans la vidéo par l'API.

Si vous rencontrez d'autres difficultés pour activer les contrôles de détection sur vos comptes, contactez le AWS Support.

Erreur de dépassement du taux renvoyée par l' AWS Organizations API

Cause possible

Votre charge de travail s'exécutait pendant qu'AWS Control Tower effectuait un scan quotidien pour vérifier si vous SCPs n'aviez pas dérivé.

Étapes à suivre

Si vous rencontrez une limitation ou une rate exceeded erreur d'API, procédez comme suit :

  • Exécutez vos charges de travail à un autre moment. (Reportez-vous au calendrier des analyses d'invariance SCP d'AWS Control Tower par région pour savoir quand AWS Control Tower exécute ses analyses d'audit.)

  • Si vous l'appelez APIs directement via HTTP : utilisez le AWS SDK, qui réessaie automatiquement les actions ayant échoué

  • Demandez une augmentation de limite par le biais du Service Quotas et du AWS Support

Voici un exemple d'instructions de résolution des problèmes liés à la limitation des API dans Elastic Beanstalk : https://aws.amazon.com/premiumsupport/knowledge-center/elastic-beanstalk-api-throttling-errors/

Impossible de déplacer un compte Account Factory directement d'une zone d'atterrissage d'AWS Control Tower vers une autre zone d'atterrissage d'AWS Control Tower

Avertissement

Cette pratique ne répond pas aux conditions requises pour l'inscription à un compte éligible, car les comptes éligibles doivent appartenir à la même organisation AWS globale, et chaque organisation ne peut disposer que d'une seule zone de landing zone. Si vous avez essayé d'effectuer cette action et que vous recevez plusieurs messages d'erreur, voici quelques informations qui pourraient vous être utiles.

Pour déplacer un compte que vous avez provisionné via Account Factory vers une autre zone de landing zone gérée par AWS Control Tower, sous un autre compte de gestion, vous devez supprimer tous les rôles IAM et les stacks associés à ce compte de l'unité d'organisation d'origine. Supprimez ces ressources de chaque région dans laquelle le compte est déployé.

Note

Le meilleur moyen de supprimer les ressources est de déprovisionner le compte dans son unité d'organisation d'origine avant d'essayer de le déplacer.

Si vous ne supprimez pas les ressources, l'inscription à la nouvelle unité d'organisation échouera, de façon assez spectaculaire. Vous pouvez rencontrer un ou plusieurs messages d'erreur, et vous continuerez à recevoir des messages d'erreur similaires jusqu'à ce que les rôles et les piles restants soient supprimés de chaque région dans laquelle le compte a été déployé.

Chaque fois que vous recevez un message d'erreur, vous devez supprimer le compte de la nouvelle unité d'organisation, supprimer l'ancienne ressource visée par le message d'erreur, puis tenter de déplacer le compte à nouveau dans la nouvelle unité d'organisation. Ce processus removing-and-deleting doit être répété pour chaque ressource restante, pour chaque région dans laquelle le compte a été déployé, éventuellement 10 ou 20 fois. Ces erreurs répétées se produisent parce que le compte a été configuré dans une unité d'organisation avec un SCP qui empêche la suppression du rôle IAM. Vous pouvez raccourcir le processus de restauration en supprimant toutes les ressources du compte avant de réessayer.

Les exemples ci-dessous représentent les types de messages d'échec que vous pouvez recevoir si des rôles et des piles non supprimés sont conservés. Vous verrez probablement l'un de ces messages à la fois, à chaque fois que vous tenterez d'enregistrer le compte, tant que les anciennes ressources restent.

Les valeurs des chaînes d'ID de ressource ont été modifiées pour les exemples. Leurs valeurs ne seront pas identiques dans un message d'erreur que vous pourriez recevoir. Un message similaire aux exemples suivants peut s'afficher :

  • AWS Control Tower cannot create the IAM role aws-controltower-AdministratorExecutionRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ConfigRecorderRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ForwardSnsNotificationRole because the role already exists. To continue, delete the existing IAM role and try again.

Il se peut également qu'un message d'erreur similaire à celui-ci s'affiche à propos d'une défaillance d'un stack set :

 
"Error\":\"StackSetFailState\",
\"Cause\":\"StackSetOperation on AWSControlTowerBP-BASELINE-CLOUDWATCH 
with id 8aXXXXf5-e0XX-4XXa-bc4XX-dXXXXXee31 
has reached SUCCEEDED state but has 1 NON-CURRENT stack instances; 
here is the summary :{ StackSet Id: 
AWSControlTowerBP-BASELINE-CLOUDWATCH:40XXXbf2-Xead-46a1-XXXa-eXXXXecb2ee2, 
Stack instance Id: 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458, 
Status: OUTDATED, 
Status Reason: ResourceLogicalId:ForwardSnsNotification, 
ResourceType:AWS::Lambda::Function, 
ResourceStatusReason:aws-controltower-NotificationForwarder already exists in stack 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458.

Une fois que toutes les ressources restantes auront été supprimées de la première UO, vous pourrez inviter, approvisionner ou inscrire le compte dans la nouvelle UO avec succès.

AWS Support

Si vous souhaitez déplacer vos comptes de membres existants vers un autre plan de support, vous pouvez vous connecter à chaque compte avec les informations d'identification du compte racine, comparer les plans et définir le niveau de support que vous préférez.

Nous vous recommandons de mettre à jour les contacts MFA et de sécurité des comptes lorsque vous apportez des modifications à votre plan de support.