Cause comuni di errore durante la registrazione o la nuova registrazione - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Cause comuni di errore durante la registrazione o la nuova registrazione

In generale, quando si registra o si registra nuovamente un'unità organizzativa, tutti gli account all'interno di tale unità organizzativa vengono registrati in AWS Control Tower. Tuttavia, è possibile che alcuni account non riescano a registrarsi, anche se l'unità organizzativa nel suo complesso è stata registrata correttamente. In questi casi, è necessario risolvere l'errore di controllo preliminare relativo all'account e quindi provare a registrare nuovamente l'account o l'unità organizzativa.

Se la registrazione (o la nuova registrazione) di un'unità organizzativa o di uno dei suoi account membro fallisce, AWS Control Tower restituisce messaggi di errore per gli account membri interessati. È possibile visualizzare i messaggi di errore nella pagina dei dettagli dell'unità organizzativa, in cui una tabella aggrega i precontrolli e i messaggi di errore dell'account. Se un'operazione di registrazione dell'unità organizzativa non riesce, la tabella mostra tutti i messaggi di errore per tutti gli account dell'unità organizzativa. Se necessario, è inoltre possibile visualizzare i messaggi di errore nella pagina dei dettagli dell'account per ciascun account.

Facoltativamente, puoi scaricare un file contenente un rapporto dettagliato che mostra quali controlli preliminari non sono stati superati, per l'analisi offline. Puoi completare il download scegliendo il pulsante Download, che appare in alto a destra nell'area di registrazione.

Questa sezione elenca i tipi di errori che potresti ricevere se i controlli preliminari falliscono e come correggerli.

Errore nella zona di atterraggio

  • Zona di atterraggio non pronta

    Reimposta la tua landing zone attuale o aggiornala alla versione più recente.

Errori OU

  • Supera il numero massimo di SCPs

    È possibile che tu abbia superato il limite delle politiche di controllo del servizio (SCPs) per unità organizzativa o che sia stata raggiunta un'altra quota. Il limite di 5 SCPs unità organizzative si applica a tutte le unità OUs presenti nella landing zone AWS della Control Tower. Se hai SCPs più di quanto consentito dalla quota, devi eliminare o combinare ilSCPs.

  • Conflittente SCPs

    L'account esistente SCPs può essere applicato all'unità organizzativa o all'account, il che impedisce a AWS Control Tower di registrare l'account. Controlla la politica applicata SCPs per eventuali politiche che potrebbero impedire AWS il funzionamento di Control Tower. Assicurati di controllare quelle ereditate dai OUs livelli più alti della gerarchia. SCPs

  • Supera la quota impostata dallo stack

    La quota dello stack set potrebbe essere stata superata. Se hai più istanze di quelle consentite dalla quota, devi eliminare alcune istanze dello stack. Per ulteriori informazioni, consultare Quote di AWS CloudFormationnella Guida per l'utente di AWS CloudFormation .

  • Supera il limite dell'account

    AWSControl Tower limita ogni unità organizzativa a 1000 account durante la registrazione.

Errori dell'account

  • Controlli preliminari impediti sugli account

    Un'unità esistente SCP sull'unità organizzativa impedisce a AWS Control Tower di effettuare controlli preliminari sugli account dei membri dell'unità organizzativa. Per risolvere questo errore di controllo preliminare, aggiorna o rimuovi l'unità organizzativaSCP.

  • Errore relativo all'indirizzo e-mail

    L'indirizzo e-mail specificato per l'account non è conforme agli standard di denominazione. Ecco l'espressione regolare (regex) che specifica quali caratteri sono consentiti: [A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+

  • Registratore Config o canale di distribuzione abilitato

    L'account può avere un registratore di AWS Config configurazione o un canale di distribuzione esistente. Questi devono essere eliminati o modificati AWS CLI in tutte le AWS regioni in cui l'account di gestione AWS Control Tower ha gestito le risorse, prima di poter registrare un account.

  • STSdisabilitato

    AWS Security Token Service (AWS STS) può essere disabilitato nell'account. AWS STSgli endpoint devono essere attivati negli account di tutte le regioni supportate da AWS Control Tower.

  • IAMConflitto tra Identity Center

    La regione principale di AWS Control Tower non è la stessa della regione AWS IAM Identity Center (IAMIdentity Center). Se IAM Identity Center è già configurato, la regione principale di AWS Control Tower deve essere la stessa dell'IAMIdentity Center.

  • Argomento in conflitto SNS

    L'account ha un nome tematico Amazon Simple Notification Service (AmazonSNS) che AWS Control Tower deve utilizzare. AWSControl Tower crea risorse (come SNS argomenti) con nomi specifici. Se questi nomi sono già utilizzati, l'installazione AWS del Control Tower fallisce. Questa situazione potrebbe verificarsi se si riutilizza un account precedentemente registrato in AWS Control Tower.

  • È stato rilevato un account sospeso

    Questo account è stato sospeso. Non può essere registrato in AWS Control Tower. Rimuovi l'account da questa unità organizzativa e riprova.

  • IAMutente non presente nel portfolio

    Aggiungi l'utente AWS Identity and Access Management (IAM) al portafoglio Service Catalog prima di registrare l'unità organizzativa. Questo errore riguarda solo l'account di gestione.

  • L'account non soddisfa i prerequisiti

    L'account non soddisfa i prerequisiti per la registrazione dell'account. Ad esempio, all'account potrebbero mancare i ruoli e le autorizzazioni necessari per registrarlo in AWS Control Tower. Le istruzioni per aggiungere un ruolo sono disponibili in. Aggiungi manualmente il IAM ruolo richiesto a un ruolo esistente Account AWS e registralo

Ti ricordiamo che AWS CloudTrail si attiva automaticamente su tutti i tuoi AWS account quando li registri a Control TowerAWS. Se CloudTrail è abilitata su un account precedente alla registrazione, potresti riscontrare una doppia fatturazione a meno che non la CloudTrail disattivi prima di iniziare la procedura di registrazione.