Risoluzione dei problemi - AWS Control Tower
Avvio della landing zone non riuscitoErrore relativo alla zona di atterraggio non aggiornataProvisioning del nuovo account non riuscitoRegistrazione di un account esistente non riuscitaImpossibile aggiornare un account di Factory AccountImpossibile aggiornare la zona di atterraggioErrore, errore che menziona AWS ConfigNessun errore trovato nei percorsi di avvioÈ stato ricevuto un errore di autorizzazioni insufficientiI controlli investigativi non hanno effetto sugli accountFrequenza superata (errore restituito dall' AWS Organizations API)Mancato trasferimento di un account Account Factory direttamente da una landing zone AWS Control Tower a un'altra landing zone AWS Control TowerAWS Support

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi

Se riscontri problemi durante l'utilizzo di AWS Control Tower, puoi utilizzare le seguenti informazioni per risolverli secondo le nostre best practice. Se i problemi riscontrati non rientrano nell'ambito delle seguenti informazioni o se persistono dopo aver cercato di risolverli, contatta l'AWS assistenza.

Avvio della landing zone non riuscito

Cause comuni di fallimento del lancio della landing zone:

  • Mancanza di risposta a un messaggio di posta elettronica di conferma.

  • AWS CloudFormation StackSet fallimento.

Messaggi e-mail di conferma: se il tuo account di gestione ha meno di un'ora, potresti riscontrare problemi durante la creazione degli account aggiuntivi.

Operazione da eseguire

Se si verifica questo problema, controllare la propria e-mail. Potrebbe essere stata inviata un'e-mail di conferma in attesa di risposta. In alternativa, consigliamo di attendere un'ora, quindi riprovare. Se il problema persiste, contatta l'AWS assistenza.

Fallito StackSets: un'altra possibile causa del fallimento del lancio della landing zone è il AWS CloudFormation StackSet fallimento. AWS Le regioni Security Token Service (STS) devono essere abilitate nell'account di gestione per tutte le AWS regioni governate da AWS Control Tower, in modo che il provisioning possa avere successo; in caso contrario, i set di stack non verranno avviati.

Operazione da eseguire

Assicurati di abilitare tutte le regioni endpoint AWS Security Token Service (STS) richieste prima di avviare AWS Control Tower.

Per visualizzare un elenco di Regioni AWS quelli supportati da AWS Control Tower, consultaCome funzionano AWS le regioni con AWS Control Tower.

Errore relativo alla zona di atterraggio non aggiornata

Se non hai aggiornato la tua landing zone di recente, potresti ricevere un errore quando tenti di riottenere l'accesso ad AWS Control Tower. Potresti visualizzare un messaggio di errore simile a questo:

Unable to access Control Tower

Il tuo account è inattivo da troppo tempo. A causa dell'inattività, è necessario aggiornare la landing zone per accedere ad AWS Control Tower.

Tuttavia, l'aggiornamento della landing zone potrebbe non riuscire.

Passaggi da eseguire

Accedi all'account di gestione della tua organizzazione e accedi come utente root. Il tuo utente IAM o utente in IAM Identity Center deve disporre delle autorizzazioni di amministratore di AWS Control Tower e far parte del AWSControlTowerAdminsgruppo. Quindi riprova a eseguire l'aggiornamento.

Provisioning del nuovo account non riuscito

Se si verifica questo problema, controlla queste cause comuni.

Quando hai compilato il modulo di provisioning dell'account, potresti aver:

  • specificato tagOptions,

  • abilitato notifiche SNS,

  • abilitato le notifiche dei prodotti sottoposti a provisioning.

Riprova a effettuare il provisioning del tuo account, senza specificare nessuna di queste opzioni. Per ulteriori informazioni, consulta Fornire account con AWS Service Catalog Account Factory .

Altre cause comuni di errore:

  • Se hai creato il piano di un prodotto sottoposto a provisioning (per visualizzare le modifiche alle risorse), il provisioning dell'account potrebbe rimanere nello stato In progress (In corso) a tempo indeterminato.

  • La creazione di un nuovo account in Account Factory avrà esito negativo mentre sono in corso altre modifiche alla configurazione di AWS Control Tower. Ad esempio, mentre è in esecuzione un processo per aggiungere un controllo a un'unità organizzativa, Account Factory visualizzerà un messaggio di errore se si tenta di effettuare il provisioning di un account.

Per verificare lo stato di un'azione precedente in AWS Control Tower

  • Vai a AWS CloudFormation > StackSets

  • Controlla ogni set di stack relativo ad AWS Control Tower (prefisso: "«AWSControlTower)

  • Cerca AWS CloudFormation StackSets le operazioni ancora in esecuzione.

Se il provisioning dell'account richiede più di un'ora, è consigliabile terminare il processo di provisioning e riprovare.

Registrazione di un account esistente non riuscita

Se provi una volta a registrare un AWS account esistente e l'iscrizione fallisce, quando provi una seconda volta, il messaggio di errore potrebbe indicare che lo stack set esiste. Per continuare, è necessario rimuovere il prodotto fornito da Account Factory.

Se il motivo del primo errore di registrazione è stato la mancata creazione del ruolo AWSControlTowerExecution nell'account in anticipo, il messaggio di errore che verrà visualizzato correttamente indica di creare il ruolo. Tuttavia, quando si tenta di creare il ruolo, è probabile che venga visualizzato un altro messaggio di errore che indica che AWS Control Tower non è in grado di creare il ruolo. Questo errore si verifica perché il processo è stato parzialmente completato.

In questo caso, è necessario eseguire due passaggi di ripristino prima di poter procedere con la registrazione dell'account esistente. Innanzitutto, è necessario terminare il prodotto fornito da Account Factory tramite la AWS Service Catalog console. Successivamente, è necessario utilizzare la AWS Organizations console per spostare manualmente l'account dall'unità organizzativa e riportarlo alla directory principale. Al termine, creare il ruolo AWSControlTowerExecution nell'account, quindi compilare nuovamente il modulo Enroll account (Registra account).

Un'altra possibile causa di errore di registrazione è che l'account dispone di risorse Config esistenti. AWS In tal caso, consulta Registrare account che dispongono di AWS Config risorse esistenti per istruzioni su come modificare le risorse esistenti.

Impossibile aggiornare un account di Factory Account

Quando uno stato dell'account non è coerente, non può essere aggiornato correttamente da Account Factory o AWS Service Catalog.

Caso 1: È possibile che venga visualizzato un messaggio di errore simile a questo:

AWS Control Tower could not baseline VPC in the managed account because of existing resource dependencies.

Causa comune: AWS Control Tower rimuove sempre il VPC AWS predefinito durante il provisioning iniziale. Per avere un VPC AWS predefinito in un account, devi aggiungerlo dopo la creazione dell'account. AWS Control Tower dispone di un proprio VPC predefinito che sostituisce il AWS VPC predefinito, a meno che non si configuri Account Factory come mostrato nella procedura dettagliata, in modo che AWS Control Tower non fornisca affatto un VPC. Pertanto l'account non avrà il VPC. È necessario aggiungere nuovamente il VPC AWS predefinito se si desidera utilizzare quello.

Tuttavia, AWS Control Tower non supporta il AWS VPC predefinito. La distribuzione fa sì che l'account entri in uno stato Tainted. Quando si trova in quello stato, non è possibile aggiornare l'account tramite AWS Service Catalog.

Operazione da eseguire: è necessario eliminare il VPC predefinito aggiunto e quindi sarà possibile aggiornare l'account.

Nota

Lo Tainted stato causa un problema successivo: un account non aggiornato può impedire l'attivazione dei controlli sull'unità organizzativa di cui fa parte.

Caso 2: è possibile che venga visualizzato un messaggio di errore simile a questo:

AWS Control Tower detects that your enrolled account has been moved to a new organizational unit.

Causa comune: si è tentato di spostare un account da un'unità organizzativa registrata a un'altra, ma le vecchie regole di AWS Config rimangono invariate. Lo stato dell'account non è coerente.

Azioni da intraprendere:

Se lo spostamento dell'account era previsto:

  • Chiudi l'account in Service Catalog.

  • Registralo di nuovo.

  • Contesto/impatto: le regole di configurazione distribuite non corrispondono alla AWS configurazione dettata dall'unità organizzativa di destinazione.

  • AWS Le regole di Config possono rimanere quelle dell'unità organizzativa precedente, causando spese indesiderate.

  • I tentativi di registrare nuovamente o aggiornare l'account falliranno a causa di conflitti di denominazione delle risorse.

Se lo spostamento dell'account non è stato intenzionale:

  • Riporta l'account alla sua unità organizzativa originale.

  • Aggiorna l'account da Service Catalog.

  • Nei parametri di avvio, inserisci l'unità organizzativa in cui si trovava originariamente l'account.

  • Contesto/impatto: se l'account non viene riportato all'unità organizzativa originale, il suo stato non sarà coerente con i controlli imposti dalla nuova unità organizzativa in cui si trova.

  • L'aggiornamento di un account non è una soluzione valida, in quanto non elimina AWS Config le regole associate all'unità organizzativa precedente.

Impossibile aggiornare la zona di atterraggio

AWS Control Tower non torna a una versione precedente di landing zone se un aggiornamento fallisce. Potresti trovare la tua landing zone in uno stato indeterminato. In tal caso, contatta l' AWS assistenza.

Gli aggiornamenti delle zone di atterraggio potrebbero non riuscire per diversi motivi.

  • Prerequisiti non soddisfatti

  • AWS Config esistono risorse in determinati account

  • esistono conti chiusi

Prerequisiti non soddisfatti

Un aggiornamento della landing zone deve soddisfare gli stessi prerequisiti della configurazione di una landing zone. Prima di effettuare l'aggiornamento, esamina i controlli effettuati prima del lancio.

AWS Config esistono risorse negli account Security OU

Non aggiungere AWS Config risorse agli account Audit e Log Archive. Il processo di aggiornamento delle landing zone non può essere completato con queste risorse presenti. Queste restrizioni sono simili a quelle relative alla registrazione di un account o alla configurazione di una landing zone per la prima volta. Per ulteriori informazioni, consulta Registrare account che dispongono di risorse esistenti AWS Config.

Esistono account chiusi

Quando un account è in uno stato Chiuso o Sospeso, potresti riscontrare un problema quando tenti di aggiornare la tua landing zone. È necessario eliminare il prodotto fornito su ogni account chiuso prima di eseguire un aggiornamento della landing zone.

Nella pagina del prodotto AWS Service Catalog fornito, è possibile che venga visualizzato un messaggio di errore simile al seguente:

AWSControlTowerExecution role can't be assumed on the account.

Causa comune: hai sospeso un account senza eliminare il prodotto fornito.

Azione da intraprendere: se visualizzi questo errore, hai due opzioni:

  1. Contatta l' AWS assistenza e riapri l'account, elimina il prodotto fornito, quindi chiudi nuovamente l'account.

  2. Rimuovi le risorse StackSets che sono rimaste orfane a causa della chiusura dell'account. (Questa opzione è disponibile solo se StackSets hanno istanze nello stato Corrente che non stai rimuovendo).

Per rimuovere le risorse da StackSets, procedi nel seguente modo per ogni account chiuso:

  • Accedi a ciascuna delle AWS Control Tower StackSets e rimuovile StackInstances da ogni regione, per l'account che è stato chiuso.

  • IMPORTANTE: scegli l'opzione Retain Stack in modo da StackSet rimuovere solo le istanze dello stack. StackSet non può assumere un ruolo dall'account chiuso, quindi fallirà se tenta di assumere il AWSControlTowerExecution ruolo, il che porta al messaggio di errore che hai ricevuto.

Errore, errore che menziona AWS Config

Se AWS Config è abilitato in qualsiasi AWS regione supportata da AWS Control Tower, potresti ricevere un messaggio di errore perché un controllo preliminare non è riuscito. Potrebbe sembrare che il messaggio non spieghi il problema in modo adeguato, a causa di alcuni comportamenti di base di. AWS Config

È possibile che venga visualizzato un messaggio di errore analogo a uno dei seguenti:

  • AWS Control Tower cannot create an AWS Config delivery channel because one already exists. To continue, delete the existing delivery channel and try again
.

  • AWS Control Tower cannot create an AWS Config configuration recorder because one already exists. To continue, delete the existing delivery channel and try again
.

Causa comune: quando il AWS Config servizio è abilitato su un AWS account, crea un registratore di configurazione e un canale di distribuzione con un nome predefinito. Se si disabilita il AWS Config servizio tramite la console, il registratore di configurazione o il canale di distribuzione non vengono eliminati. È necessario eliminarli tramite la CLI o modificarli per l'utilizzo di AWS Control Tower. Se il AWS Config servizio è abilitato in una qualsiasi delle regioni supportate da AWS Control Tower, può verificarsi questo errore.

Se l'account dispone di risorse AWS Config esistenti, consulta Registrare account che dispongono di AWS Config risorse esistenti per istruzioni su come modificare le risorse esistenti.

Operazione da intraprendere: eliminare il recorder di configurazione e il canale di distribuzione in tutte le regioni supportate. La disabilitazione di AWS Config non è sufficiente, il registratore di configurazione e il canale di consegna devono essere eliminati tramite la CLI. Dopo aver eliminato il registratore di configurazione e il canale di distribuzione dalla CLI, puoi riprovare ad avviare AWS Control Tower e registrare l'account.

Se stai distribuendo un prodotto fornito, devi eliminarlo prima di riprovare. In caso contrario, è possibile che venga visualizzato un messaggio di errore simile a questo:

  • An error occurred (InvalidParametersException) when calling the ProvisionProduct operation: A stack named Stackname already exists.

Nel messaggio, Stacknamespecifica il nome dello stack.

Ecco alcuni esempi di comandi AWS Config CLI che è possibile utilizzare per determinare lo stato del registratore di configurazione e del canale di distribuzione.

Comandi di visualizzazione:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

Elimina comandi:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Per ulteriori informazioni, consulta la documentazione AWS Config

Nessun errore trovato nei percorsi di avvio

Quando si tenta di creare un nuovo account, è possibile che venga visualizzato un messaggio di errore simile a questo:

No launch paths found for resource: prod-dpqqfywxxxx

Questo messaggio di errore viene generato da AWS Service Catalog, che è il servizio integrato che aiuta a fornire account in AWS Control Tower.

Cause comuni:

  • Potresti aver effettuato l'accesso come root. AWS Control Tower non supporta la creazione di account quando si effettua l'accesso come utente root.

  • Il tuo utente IAM Identity Center non è stato aggiunto al gruppo di autorizzazioni appropriato. Potrebbe essere necessario aggiungere il tuo utente IAM Identity Center a uno di questi gruppi di autorizzazioni: AWSAccountFactory(per l'accesso da parte dell'utente finale) o AWSServiceCatalogAdmins(per l'accesso da amministratore).

  • Se sei autenticato come utente IAM, devi aggiungerlo al AWS Service Catalog portafoglio in modo che disponga delle autorizzazioni corrette.

  • Questo problema si verifica anche se disponi delle autorizzazioni corrette, ma viene rilevata una deriva da AWS Control Tower ed è necessaria una riparazione della deriva. Per riparare la maggior parte dei tipi di deriva, scegli Ripristina nella pagina delle impostazioni della zona di atterraggio.

È stato ricevuto un errore di autorizzazioni insufficienti

È possibile che il tuo account non disponga delle autorizzazioni necessarie per eseguire determinate operazioni in alcuni casi. AWS Organizations Se riscontri il seguente tipo di errore, controlla tutte le aree di autorizzazione, ad esempio le autorizzazioni IAM o IAM Identity Center, per assicurarti che l'autorizzazione non venga negata da quelle aree:

You have insufficient permissions to perform AWS Organizations API actions.

Se ritieni che il tuo lavoro richieda l'azione che stai tentando e non riesci a individuare alcuna restrizione pertinente, contatta l'amministratore di sistema o l'assistenza AWS .

I controlli investigativi non hanno effetto sugli account

Se hai recentemente esteso la distribuzione di AWS Control Tower in una nuova AWS regione, i nuovi controlli investigativi applicati non hanno effetto sui nuovi account creati in nessuna regione finché i singoli account all'interno delle unità organizzative governate da AWS Control Tower non vengono aggiornati. I controlli investigativi esistenti sugli account esistenti sono ancora in vigore.

Se provi ad attivare un controllo investigativo prima di aggiornare i tuoi account, potresti visualizzare un messaggio di errore simile al seguente:

AWS Control Tower can't enable the selected control on this OU. AWS Control Tower cannot apply the control on the OU ou-xxx-xxxxxxxx, because child accounts have dependencies that are missing. Update all child accounts under the OU, then try again.

Azione da intraprendere: aggiorna gli account.

Per aggiornare i tuoi account dalla console AWS Control Tower, consultaQuando aggiornare AWS Control Tower OUs e gli account.

Per aggiornare più account individuali a livello di codice, puoi utilizzare le API e la AWS Service Catalog AWS CLI per automatizzare gli aggiornamenti. Per ulteriori informazioni su come affrontare il processo di aggiornamento, vedere questo Procedura guidata: video.  Puoi sostituire l'API con l'UpdateProvisionedProductAPI mostrata nel ProvisionProductvideo.

Se hai ulteriori difficoltà ad abilitare i controlli investigativi sui tuoi account, contatta il AWS servizio clienti.

Frequenza superata (errore restituito dall' AWS Organizations API)

Possibile causa

Il tuo carico di lavoro era in esecuzione mentre AWS Control Tower eseguiva una scansione giornaliera per verificare se i tuoi SCP fossero andati alla deriva.

Passaggi da seguire

Se riscontri una limitazione o un rate exceeded errore dell'API, prova questi passaggi:

  • Esegui i tuoi carichi di lavoro in un momento diverso. (Fai riferimento alla pianificazione della scansione dell'invarianza SCP di AWS Control Tower per regione per scoprire quando AWS Control Tower esegue le sue scansioni di audit.)

  • Se chiami le API direttamente tramite HTTP: utilizza l' AWS SDK, che riprova automaticamente le azioni non riuscite

  • Richiedi un aumento del limite tramite Service Quotas and Support AWS

Un esempio di istruzioni per la risoluzione dei problemi relativi alla limitazione delle API in Elastic Beanstalk è disponibile qui: https://aws.amazon.com/premiumsupport/knowledge-center/elastic-beanstalk-api-throttling-errors/

Mancato trasferimento di un account Account Factory direttamente da una landing zone AWS Control Tower a un'altra landing zone AWS Control Tower

avvertimento

Questa pratica non soddisfa i prerequisiti per la registrazione di account idonei, poiché gli account idonei devono far parte della stessa AWS Organization generale e ogni organizzazione può avere una sola landing zone. Se hai provato a eseguire questa azione e ti accorgi di ricevere più messaggi di errore, ecco alcune informazioni che potrebbero esserti utili.

Per spostare un account di cui hai effettuato il provisioning tramite Account Factory in un'altra landing zone gestita da AWS Control Tower, con un altro account di gestione, devi rimuovere tutti i ruoli IAM e gli stack associati a quell'account dall'unità organizzativa originale. Rimuovi queste risorse da ogni regione in cui è distribuito l'account.

Nota

Il modo migliore per rimuovere le risorse consiste nel deprovisioning dell'account nell'unità organizzativa originale prima di provare a spostarlo.

Se non si rimuovono le risorse, l'iscrizione alla nuova unità organizzativa fallirà, in modo alquanto spettacolare. È possibile che vengano visualizzati uno o più messaggi di errore e continuerai a ricevere messaggi di errore simili fino a quando i ruoli e gli stack rimanenti non verranno rimossi da ogni regione in cui è stato distribuito l'account.

Ogni volta che si riceve un messaggio di errore, è necessario rimuovere l'account dalla nuova unità organizzativa, eliminare la vecchia risorsa oggetto del messaggio di errore e quindi tentare di riportare l'account nella nuova unità organizzativa. Questo processo removing-and-deleting deve essere ripetuto per ogni risorsa rimanente, per ogni regione in cui l'account è stato distribuito, possibilmente 10 o 20 volte. Questi errori ripetuti si verificano perché l'account è stato assegnato a un'unità organizzativa con un SCP che impedisce l'eliminazione del ruolo IAM. Puoi abbreviare il processo di ripristino eliminando tutte le risorse dell'account prima di riprovare.

Gli esempi seguenti rappresentano i tipi di messaggi di errore che potresti ricevere se rimangono ruoli e stack non eliminati. Molto probabilmente vedrai uno di questi messaggi alla volta, per ogni volta che tenti di registrare l'account, purché rimangano risorse obsolete.

I valori delle stringhe ID delle risorse sono stati modificati per gli esempi. I loro valori non saranno gli stessi in un messaggio di errore che potresti ricevere. È possibile che venga visualizzato un messaggio simile ai seguenti esempi:

  • AWS Control Tower cannot create the IAM role aws-controltower-AdministratorExecutionRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ConfigRecorderRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ForwardSnsNotificationRole because the role already exists. To continue, delete the existing IAM role and try again.

Oppure potresti visualizzare un messaggio di errore relativo a un errore di stack set, simile a questo:

 
"Error\":\"StackSetFailState\",
\"Cause\":\"StackSetOperation on AWSControlTowerBP-BASELINE-CLOUDWATCH 
with id 8aXXXXf5-e0XX-4XXa-bc4XX-dXXXXXee31 
has reached SUCCEEDED state but has 1 NON-CURRENT stack instances; 
here is the summary :{ StackSet Id: 
AWSControlTowerBP-BASELINE-CLOUDWATCH:40XXXbf2-Xead-46a1-XXXa-eXXXXecb2ee2, 
Stack instance Id: 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458, 
Status: OUTDATED, 
Status Reason: ResourceLogicalId:ForwardSnsNotification, 
ResourceType:AWS::Lambda::Function, 
ResourceStatusReason:aws-controltower-NotificationForwarder already exists in stack 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458.

Una volta rimosse tutte le risorse rimanenti dalla prima unità organizzativa, sarà possibile invitare, fornire o registrare correttamente l'account nella nuova unità organizzativa.

AWS Support

Se desideri spostare gli account membro esistenti in un piano di supporto diverso, puoi accedere a ciascun account con le credenziali dell'account root, confrontare i piani e impostare il livello di supporto desiderato.

Si consiglia di aggiornare l'MFA e i contatti per la sicurezza dell'account quando si apportano modifiche al piano di supporto.