登録時または再登録時に発生する障害のよくある原因 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

登録時または再登録時に発生する障害のよくある原因

通常、OU を登録または再登録すると、その OU 内のすべてのアカウントが AWS Control Tower に登録されます。ただし、OU 全体が正常に登録されても、一部のアカウントが登録に失敗する場合があります。このような場合は、そのアカウントに関連する事前チェックの失敗を解決して、そのアカウントまたは OU を再登録する必要があります。

OU またはそのメンバーアカウントの登録 (または再登録) が失敗した場合、AWSControl Tower は影響を受けるメンバーアカウントのエラーメッセージを返します。エラーメッセージは OU の詳細ページで確認できます。このページでは、テーブルが事前チェックとアカウントのエラーメッセージを集約します。Register OU オペレーションが失敗した場合、テーブルには OU 内のすべてのアカウントのすべてのエラーメッセージが表示されます。必要に応じて、各アカウントのアカウントの詳細ページでエラーメッセージを表示することもできます。

オプションで、オフライン分析のために、どの事前チェックが合格しなかったかを示す詳細なレポートを含むファイルをダウンロードできます。登録領域の右上に表示される [Download] (ダウンロード) ボタンを選択すると、ダウンロードを可尿できます。

このセクションでは、事前チェックが失敗した場合に発生する可能性があるエラーの種類とそのエラーの修正方法について説明します。

ランディングゾーンのエラー

  • ランディングゾーンの準備ができていない

    現在のランディングゾーンをリセットするか、最新バージョンに更新します。

OU エラー

  • 最大数を超えています SCPs

    OU あたりのサービスコントロールポリシー (SCPs) の制限を超えているか、別のクォータに達した可能性があります。Control AWS Tower ランディングゾーンOUs内のすべての には、OU SCPsあたり 5 の制限が適用されます。クォータで許可されているSCPs数を超える場合は、 を削除または組み合わせる必要がありますSCPs。

  • 競合 SCPs

    既存の SCPs を OU または アカウントに適用することで、AWSControl Tower がアカウントを登録できなくなります。AWS Control Tower が機能しなくなる可能性のあるポリシーSCPsに適用された を確認します。階層内のOUs上位からSCPs継承される を必ず確認してください。

  • スタックセットのクォータを超えている

    スタックセットのクォータを超えている可能性があります。クォータの許容数を超えるインスタンスがある場合は、スタックインスタンスをいくつか削除する必要があります。詳細については、「AWS CloudFormation ユーザーガイド」の「AWS CloudFormation のクォータ」を参照してください。

  • アカウントの上限を超えている

    AWS Control Tower は、登録時に各 OU を 1000 アカウントに制限します。

アカウントエラー

  • アカウントで事前チェックが禁止されている

    OU SCP上の既存の は、AWSControl Tower が OU メンバーアカウントに事前チェックを実行できないようにします。この事前チェックの失敗を解決するには、OU SCPから を更新または削除します。

  • E メールアドレスのエラー

    アカウントに指定した E メールアドレスが命名基準に準拠していません。許可される文字を正規表現 (regex) で指定するは、[A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+ を使用します。

  • 設定レコーダーまたは配信チャネルが有効

    アカウントには、既存の AWS Config 設定レコーダーまたは配信チャネルがある場合があります。これらは、アカウントを登録する前に、AWSControl Tower 管理アカウントがリソースを管理しているすべての AWS リージョン AWS CLI の を通じて削除または変更する必要があります。

  • STS 無効

    AWS Security Token Service (AWS STS) はアカウントで無効にできます。 AWS STS エンドポイントは、AWSControl Tower でサポートされているすべてのリージョンのアカウントでアクティブ化する必要があります。

  • IAM Identity Center の競合

    AWS Control Tower のホームリージョンが AWS IAM Identity Center (IAM Identity Center) リージョンと同じではありません。IAM Identity Center が既に設定されている場合、AWSControl Tower のホームリージョンは IAM Identity Center リージョンと同じである必要があります。

  • 競合するSNSトピック

    アカウントには、AWSControl Tower が使用する必要がある Amazon Simple Notification Service (Amazon SNS) トピック名があります。AWS Control Tower は、特定の名前のリソース (SNSトピックなど) を作成します。これらの名前が既に取得されている場合、AWSControl Tower のセットアップは失敗します。この状況は、以前に AWS Control Tower に登録されたアカウントを再利用している場合に発生する可能性があります。

  • 一時停止中のアカウントが検出される

    このアカウントは停止しています。AWS Control Tower に登録することはできません。アカウントをこの OU から削除してから再試行してください。

  • IAM ポートフォリオにないユーザー

    OU を登録する前に AWS Identity and Access Management 、(IAM) ユーザーを Service Catalog ポートフォリオに追加します。このエラーは、管理アカウントにのみ関係します。

  • アカウントが前提条件を満たしていない

    アカウントがアカウント登録の前提条件を満たしていません。例えば、アカウントが AWS Control Tower に登録するために必要なロールとアクセス許可を欠いている可能性があります。ロールを追加する手順については、「必要なIAMロールを既存の に手動で追加 AWS アカウント して登録する」を参照してください。

Control AWS Tower に登録すると、すべての AWS アカウントで AWS CloudTrail が自動的に有効になります。登録前にアカウントで CloudTrail が有効になっている場合、登録プロセス CloudTrail を開始する前に非アクティブ化しない限り、二重請求が発生する可能性があります。