Causas comuns de falha durante o registro ou o novo registro - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Causas comuns de falha durante o registro ou o novo registro

Em geral, quando você registra ou registra novamente uma OU, todas as contas dentro dessa OU são inscritas na AWS Control Tower. No entanto, é possível que algumas contas não consigam se inscrever, mesmo que a OU como um todo seja registrada com sucesso. Nesses casos, você deve resolver a falha de pré-verificação relacionada à conta e, em seguida, tentar reinscrever essa conta ou OU.

Se o registro (ou o novo registro) de uma OU ou de qualquer uma de suas contas membros falhar, o AWS Control Tower retornará mensagens de erro para as contas de membros afetadas. Você pode visualizar as mensagens de erro na página de detalhes da OU, na qual uma tabela agrega as pré-verificações e as mensagens de erro da conta. Se uma operação de Registrar OU falhar, a tabela mostrará todas as mensagens de erro de todas as contas na OU. Se necessário, você também pode ver as mensagens de erro na página de detalhes da conta de cada conta.

Opcionalmente, você pode baixar um arquivo contendo um relatório detalhado que mostra quais pré-verificações não foram aprovadas, para análise off-line. Você pode concluir o download escolhendo o botão Download, que aparece no canto superior direito da área de registro.

Esta seção lista os tipos de erros que você pode receber se as pré-verificações falharem e como corrigi-los.

Erro na zona de pouso

  • A zona de pouso não está pronta

    Redefina sua landing zone atual ou atualize-a para a versão mais recente.

Erros de OU

  • Excede o número máximo de SCPs

    Você pode estar acima do limite de políticas de controle de serviço (SCPs) por UO ou pode ter atingido outra cota. Um limite de 5 SCPs por UO se aplica a todos OUs na sua landing zone da AWS Control Tower. Se você tiver SCPs mais do que o permitido pela cota, deverá excluir ou combinar o. SCPs

  • Conflitante SCPs

    O existente SCPs pode ser aplicado à OU ou à conta, o que impede que a AWS Control Tower registre a conta. Verifique se a política aplicada SCPs pode impedir que a AWS Control Tower funcione. Certifique-se de verificar os SCPs que são herdados de uma posição OUs superior na hierarquia.

  • Excede a cota do conjunto de pilhas

    A cota do conjunto de pilhas pode ter sido excedida. Se você tiver mais instâncias do que a cota permite, exclua algumas instâncias de pilha. Para ter mais informações, consulte AWS CloudFormation cotas no AWS CloudFormation Guia do usuário.

  • Excede o limite da conta

    AWSA Control Tower limita cada OU a 300 contas durante o registro.

Erros na conta

  • Verificações prévias evitadas em contas

    Uma existência SCP na OU impede que a AWS Control Tower realize verificações prévias em suas contas de membros da OU. Para resolver essa falha de pré-verificação, atualize ou remova o SCP da OU.

  • Erro de endereço de e-mail

    O endereço de e-mail que você especificou para a conta não está em conformidade com os padrões de nomenclatura. Aqui está a expressão regular (regex) que especifica quais caracteres são permitidos: [A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+

  • Config gravador ou canal de entrega ativado

    A conta pode ter um AWS Config gravador de configuração ou canal de entrega. Eles devem ser excluídos ou modificados por meio do AWS CLI em tudo AWS Regiões nas quais a conta de gerenciamento da AWS Control Tower controla os recursos, antes que você possa inscrever uma conta.

  • STSdesabilitado

    AWS Security Token Service (AWS STS) pode estar desativado na conta. AWS STSos endpoints devem ser ativados nas contas de todas as regiões suportadas pela AWS Control Tower.

  • IAMConflito no Identity Center

    A região de origem da AWS Control Tower não é a mesma que AWS IAM Identity Center Região (Centro de IAM Identidade). Se o IAM Identity Center já estiver configurado, a região inicial do AWS Control Tower deverá ser a mesma da Região do IAM Identity Center.

  • Tópico conflitante SNS

    A conta tem um nome de tópico do Amazon Simple Notification Service (AmazonSNS) que o AWS Control Tower precisa usar. AWSA Control Tower cria recursos (como SNS tópicos) com nomes específicos. Se esses nomes já tiverem sido usados, a configuração do AWS Control Tower falhará. Essa situação pode ocorrer se você estiver reutilizando uma conta anteriormente inscrita no AWS Control Tower.

  • Conta suspensa detectada

    Essa conta foi suspensa. Ele não pode ser inscrito no AWS Control Tower. Remova a conta dessa OU e tente novamente.

  • IAMusuário que não está no portfólio

    Adicione o AWS Identity and Access Management (IAM) use o portfólio do Service Catalog antes de registrar sua OU. Esse erro se refere somente à conta de gerenciamento.

  • A conta não atende aos pré-requisitos

    A conta não atende aos pré-requisitos para inscrição na conta. Por exemplo, a conta pode não ter as funções e as permissões necessárias para registrá-la na AWS Control Tower. As instruções para adicionar uma função estão disponíveis emAdicione manualmente a função do IAM necessária a uma existente Conta da AWS e inscreva-a.

Como lembrete, AWS CloudTrail é ativado automaticamente em todos os seus AWS contas quando você as inscreve no AWS Control Tower. Se CloudTrail estiver ativado em uma conta antes da inscrição, você poderá experimentar o faturamento duplo, a menos que desative CloudTrail antes de iniciar o processo de inscrição.