등록 또는 재등록 중 장애의 일반적인 원인 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

등록 또는 재등록 중 장애의 일반적인 원인

일반적으로 OU를 등록하거나 다시 등록하면 해당 OU 내의 모든 계정이 AWS Control Tower에 등록됩니다. 그러나 OU 전체가 성공적으로 등록되더라도 일부 계정이 등록되지 않을 수 있습니다. 이러한 경우 계정과 관련된 사전 확인 실패를 해결한 다음 해당 계정 또는 OU를 다시 등록해야 합니다.

OU 또는 멤버 계정의 등록(또는 재등록)이 실패하면 AWS Control Tower는 영향을 받는 멤버 계정에 대한 오류 메시지를 반환합니다. OU 세부 정보 페이지에서 오류 메시지를 볼 수 있습니다. 여기서 테이블은 사전 확인 및 계정 오류 메시지를 집계합니다. OU 등록 작업이 실패하면 테이블에 OU에 있는 모든 계정에 대한 모든 오류 메시지가 표시됩니다. 필요한 경우 각 계정의 계정 세부 정보 페이지에서 오류 메시지를 볼 수도 있습니다.

선택적으로 오프라인 분석을 위해 통과하지 못한 사전 확인을 보여주는 세부 보고서가 포함된 파일을 다운로드할 수 있습니다. 등록 영역의 오른쪽 상단에 나타나는 다운로드 버튼을 선택하여 다운로드를 완료할 수 있습니다.

이 섹션에서는 사전 확인이 실패할 경우 발생할 수 있는 오류 유형과 오류를 수정하는 방법을 나열합니다.

랜딩 영역 오류

  • 랜딩 영역이 준비되지 않음

    현재 랜딩 영역을 재설정하거나 최신 버전으로 업데이트합니다.

OU 오류

  • 최대 수를 초과합니다. SCPs

    OU당 서비스 제어 정책(SCPs)의 한도를 초과하거나 다른 할당량에 도달했을 수 있습니다. OUs AWS Control Tower 랜딩 존의 모든 에 OUSCPs당 5개의 제한이 적용됩니다. 할당량에서 허용하는 SCPs 것보다 많은 경우 를 삭제하거나 결합해야 합니다SCPs.

  • 충돌 SCPs

    기존 를 OU 또는 계정에 적용할 SCPs 수 있으므로 AWS Control Tower에서 계정을 등록하지 못할 수 있습니다. AWS Control Tower가 작동하지 않을 수 있는 정책이 SCPs 있는지 적용된 를 확인합니다. 계층 구조의 OUs 상위에서 상속SCPs된 를 확인해야 합니다.

  • 스택 세트 할당량 초과

    스택 세트 할당량이 초과되었을 수 있습니다. 할당량에서 허용하는 것보다 많은 인스턴스가 있는 경우 일부 스택 인스턴스를 삭제해야 합니다. 자세한 내용은, AWS CloudFormation 사용 설명서AWS CloudFormation 할당량 섹션을 참조하십시오.

  • 계정 한도 초과

    AWS Control Tower는 등록 중에 각 OU를 1000개의 계정으로 제한합니다.

계정 오류

  • 계정에서 사전 확인이 금지됨

    OUSCP에 있는 는 AWS Control Tower가 OU 멤버 계정에 대해 사전 확인을 수행하지 못하게 합니다. 이 사전 확인 실패를 해결하려면 OUSCP에서 를 업데이트하거나 제거합니다.

  • 이메일 주소 오류

    계정에 지정한 이메일 주소가 이름 지정 표준을 준수하지 않습니다. 다음은 허용되는 문자를 지정하는 정규식(정식)입니다. [A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+

  • 구성 레코더 또는 전송 채널 활성화됨

    계정에 기존 AWS Config 구성 레코더 또는 전송 채널이 있을 수 있습니다. Control AWS Tower 관리 계정에서 리소스를 관리한 모든 AWS 리전 AWS CLI 의 를 통해 삭제하거나 수정해야 계정을 등록할 수 있습니다.

  • STS 비활성화됨

    AWS Security Token Service (AWS STS)는 계정에서 비활성화될 수 있습니다. AWS STS 엔드포인트는 AWS Control Tower에서 지원하는 모든 리전의 계정에서 활성화되어야 합니다.

  • IAM Identity Center 충돌

    AWS Control Tower 홈 리전은 AWS IAM Identity Center (IAM Identity Center) 리전과 동일하지 않습니다. IAM Identity Center가 이미 설정된 경우 AWS Control Tower 홈 리전은 IAM Identity Center 리전과 동일해야 합니다.

  • 충돌하는 SNS 주제

    계정에는 AWS Control Tower가 사용해야 하는 Amazon Simple Notification Service(AmazonSNS) 주제 이름이 있습니다. AWS Control Tower는 특정 이름으로 리소스(예: SNS 주제)를 생성합니다. 이러한 이름을 이미 가져온 경우 AWS Control Tower 설정이 실패합니다. Control AWS Tower에 이전에 등록된 계정을 재사용하는 경우 이 상황이 발생할 수 있습니다.

  • 일시 중지된 계정이 감지됨

    이 계정은 일시 중지되었습니다. AWS Control Tower에 등록할 수 없습니다. 이 OU에서 계정을 제거하고 다시 시도하세요.

  • IAM 포트폴리오에 없는 사용자

    OU를 등록하기 전에 Service Catalog 포트폴리오에 AWS Identity and Access Management (IAM) 사용자를 추가합니다. 이 오류는 관리 계정에만 해당됩니다.

  • 계정이 사전 조건을 충족하지 않음

    계정이 계정 등록을 위한 사전 조건을 충족하지 않습니다. 예를 들어 계정에서 AWS Control Tower에 등록하는 데 필요한 역할 및 권한이 누락되었을 수 있습니다. 역할 추가 지침은 에서 확인할 수 있습니다필요한 IAM 역할을 기존 에 수동으로 추가 AWS 계정 하고 등록합니다..

다시 한 번 말씀드리지만, AWS CloudTrail 는 AWS Control Tower에 계정을 등록할 때 모든 AWS 계정에서 자동으로 활성화됩니다. 등록 전 계정에서 CloudTrail 가 활성화된 경우 등록 프로세스를 시작하기 CloudTrail 전에 비활성화하지 않으면 이중 청구가 발생할 수 있습니다.