Solução de problemas - AWS Control Tower
Falha na inicialização da zona de destinoErro de zona de pouso não atualizadaFalha no provisionamento de novas contasFalha ao registrar uma conta existenteNão é possível atualizar uma conta da Fábrica de contasNão é possível atualizar a zona de pousoErro de falha que menciona AWS ConfigNenhum erro de caminhos de inicialização encontradoRecebeu um erro de permissões insuficientesOs controles de detecção não estão em vigor nas contasErro de taxa excedida retornado pela API AWS OrganizationsFalha ao mover uma conta do Account Factory diretamente de uma zona de pouso do AWS Control Tower para outraAWS Support

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas

Se enfrentar problemas ao usar o AWS Control Tower, você poderá usar as informações a seguir para resolvê-los de acordo com nossas práticas recomendadas. Se os problemas enfrentados estiverem fora do escopo das informações a seguir ou se eles persistem depois que você tiver tentado resolvê-los, entre em contato com o AWS Support.

Falha na inicialização da zona de destino

Causas comuns de falha na execução da zona de destino:

  • Falta de resposta a uma mensagem de e-mail de confirmação.

  • AWS CloudFormation StackSet falha.

Mensagens de e-mail de confirmação: se a conta de gerenciamento tiver menos de uma hora de criação, você poderá enfrentar problemas quando as contas adicionais forem criadas.

Ação a realizar

Se você encontrar esse problema, verifique seu e-mail. Você pode ter recebido um e-mail de confirmação que está aguardando resposta. Como alternativa, recomendamos aguardar uma hora e, depois, tentar novamente. Se o problema persistir, entre em contato com AWS Support.

Falha StackSets: outra possível causa da falha no lançamento do landing zone é a AWS CloudFormation StackSet falha. AWS As regiões do Security Token Service (STS) devem ser habilitadas na conta de gerenciamento de todas as AWS regiões que o AWS Control Tower está governando, para que o provisionamento possa ser bem-sucedido; caso contrário, os conjuntos de pilhas não serão iniciados.

Ação a realizar

Certifique-se de habilitar todas as regiões de endpoint do AWS Security Token Service (STS) necessárias antes de iniciar o AWS Control Tower.

Para ver uma lista do Regiões da AWS que o AWS Control Tower suporta, consulteComo AWS as regiões funcionam com o AWS Control Tower.

Erro de zona de pouso não atualizada

Se não atualizou a zona de pouso recentemente, você pode receber uma mensagem de erro ao tentar recuperar o acesso ao AWS Control Tower. Você pode receber uma mensagem de erro semelhante a esta:

Unable to access Control Tower

Sua conta ficou inativa por muito tempo. Devido à inatividade, você deve atualizar a zona de pouso para acessar o AWS Control Tower.

No entanto, a atualização da zona de pouso pode falhar.

Etapas a realizar

Faça login na conta de gerenciamento da organização e faça login como usuário-raiz. Seu usuário do IAM ou usuário no IAM Identity Center deve ter permissões de administrador do AWS Control Tower e fazer parte do AWSControlTowerAdminsgrupo. Depois, tente atualizar novamente.

Falha no provisionamento de novas contas

Se você encontrar esse problema, verifique essas causas comuns.

Ao preencher o formulário de provisionamento de conta, você pode ter:

  • especificado tagOptions,

  • habilitado notificações do SNS,

  • habilitado notificações de produtos provisionados.

Tente provisionar sua conta novamente, sem especificar nenhuma dessas opções. Para obter mais informações, consulte Provisionar contas com AWS Service Catalog Account Factory .

Outras causas comuns de falha:

  • Se você criou um plano de produto provisionado (para exibir alterações de recursos), seu provisionamento de conta pode permanecer em um estado In progress (Em andamento) indefinidamente.

  • Ocorrerá uma falha na criação de uma conta no Account Factory enquanto são feitas outras alterações de configuração do AWS Control Tower. Por exemplo, durante um processo para adicionar um controle a uma UO, o Account Factory exibirá uma mensagem de erro se você tentar provisionar uma conta.

Como verificar o status de uma ação anterior no AWS Control Tower

  • Navegue até AWS CloudFormation > StackSets

  • Verifique cada conjunto de pilhas relacionado ao AWS Control Tower (prefixo: “AWSControlTower”)

  • Procure AWS CloudFormation StackSets as operações que ainda estão em execução.

Se o provisionamento de sua conta demorar mais de uma hora, é melhor encerrar o processo de provisionamento e tentar novamente.

Falha ao registrar uma conta existente

Se você tentar registrar uma AWS conta existente uma vez e essa inscrição falhar, ao tentar pela segunda vez, a mensagem de erro poderá indicar que o conjunto de pilhas existe. Para continuar, é necessário remover o produto provisionado na Fábrica de contas.

Se o motivo da primeira falha de registro foi que você esqueceu de criar a função AWSControlTowerExecution na conta com antecedência, a mensagem de erro que você receberá corretamente informará que a função deve ser criada. No entanto, ao tentar criar a função, é provável que você receba outra mensagem de erro informando que o AWS Control Tower não pôde criar a função. Esse erro ocorre porque o processo foi parcialmente concluído.

Nesse caso, é necessário executar duas etapas de recuperação antes de continuar a registrar sua conta existente. Primeiro, você deve encerrar o produto provisionado pelo Account Factory por meio do console. AWS Service Catalog Depois, é necessário usar o console do AWS Organizations para mover manualmente a conta para fora da UO e de volta para a raiz. Depois disso, crie a função AWSControlTowerExecution na conta e preencha o formulário Enroll account (Registrar conta) novamente.

Outra possível causa da falha na inscrição é que a conta tem recursos do AWS Config existentes. Nesse caso, consulte Inscrever contas que tenham AWS Config recursos existentes para obter instruções sobre como você pode modificar seus recursos existentes.

Não é possível atualizar uma conta da Fábrica de contas

Quando uma conta está em um estado inconsistente, ela não pode ser atualizada com sucesso no Account Factory ou AWS Service Catalog.

Caso 1: você pode encontrar uma mensagem de erro semelhante a esta:

AWS Control Tower could not baseline VPC in the managed account because of existing resource dependencies.

Causa comum: o AWS Control Tower sempre remove a VPC AWS padrão durante o provisionamento inicial. Para ter uma VPC AWS padrão em uma conta, você deve adicioná-la após a criação da conta. O AWS Control Tower tem sua própria VPC padrão que substitui a VPC padrão da AWS , a menos que você configure o Account Factory da maneira que o passo a passo mostra, para que o AWS Control Tower não provisione nenhuma VPC. A conta não tem uma VPC. Você precisaria adicionar novamente a VPC AWS padrão se quiser usá-la.

No entanto, o AWS Control Tower não é compatível com a VPC AWS padrão. A implantação de uma VPC faz com que a conta entre em um estado Tainted. Quando está nesse estado, você não pode atualizar a conta por meio de AWS Service Catalog.

Ação a realizar: você deve excluir a VPC padrão adicionada e, depois, conseguirá atualizar a conta.

nota

O estado Tainted causa um problema subsequente: uma conta não atualizada pode impedir a habilitação de controles na UO da qual faz parte.

Caso 2: você pode receber uma mensagem de erro semelhante a esta:

AWS Control Tower detects that your enrolled account has been moved to a new organizational unit.

Causa comum: você tentou mover uma conta de uma OU registrada para outra, mas as regras antigas AWS do Config permanecem. A conta está em um estado inconsistente.

Ação a realizar:

Se a mudança de conta foi planejada:

  • Encerre a conta no Service Catalog.

  • Inscreva-a novamente.

  • Contexto/impacto: as regras de AWS Config implantadas não correspondem à configuração ditada pela OU de destino.

  • AWS As regras de Config podem permanecer da OU anterior, causando gastos não intencionais.

  • As tentativas de reinscrever ou atualizar a conta falharão devido a conflitos de nomenclatura de recursos.

Se a mudança de conta não foi planejada:

  • Retorne a conta para sua UO original.

  • Atualize a conta no Service Catalog.

  • Nos parâmetros de inicialização, insira a UO na qual a conta estava originalmente.

  • Contexto/impacto: se a conta não retornar à UO original, seu estado será inconsistente com os controles ditados pela nova UO em que ela está.

  • Atualizar uma conta não é uma correção válida, pois não exclui as regras do AWS Config associadas à UO anterior.

Não é possível atualizar a zona de pouso

O AWS Control Tower não reverterá para uma versão anterior da zona de pouso se uma atualização falhar. Você pode encontrar a zona de pouso em um estado indeterminado. Em caso afirmativo, entre em contato com AWS o suporte.

As atualizações da zona de pouso podem falhar por vários motivos.

  • Pré-requisitos não cumpridos

  • AWS Config existem recursos em determinadas contas

  • Existem contas encerradas

Pré-requisitos não cumpridos

A atualização da zona de pouso deve atender aos mesmos pré-requisitos da configuração da zona de pouso. Antes de atualizar, revise as verificações de pré-lançamento.

AWS Config existem recursos nas contas da OU de segurança

Não adicione AWS Config recursos em suas contas de arquivamento de auditoria e registro. O processo de atualização da zona de pouso não pode ser concluído com esses recursos presentes. Essas restrições são semelhantes às de inscrever uma conta ou configurar uma zona de pouso pela primeira vez. Para obter mais informações, consulte Inscrever contas que tenham AWS Config recursos existentes.

Existem contas encerradas

Quando uma conta está no estado Encerrada ou Suspensa, você pode encontrar um problema ao tentar atualizar a zona de pouso. Você deve excluir o produto provisionado em cada conta encerrada antes de realizar uma atualização na zona de pouso.

Na página do produto AWS Service Catalog provisionado, você pode ver uma mensagem de erro semelhante a esta:

AWSControlTowerExecution role can't be assumed on the account.

Causa comum: você suspendeu uma conta sem excluir o produto provisionado.

Ação a realizar: caso veja esse erro, você tem duas opções:

  1. Entre em contato com o AWS Support e reabra a conta, exclua o produto provisionado e feche a conta novamente.

  2. Remova os recursos do StackSets que ficaram órfãos devido ao encerramento da conta. (Essa opção está disponível somente se houver instâncias no estado atual que você não está removendo.) StackSets

Para remover os recursos do StackSets, faça o seguinte para cada conta fechada:

  • Acesse cada uma das AWS Control Tower StackSets e remova-as StackInstances de todas as regiões da conta que foi fechada.

  • IMPORTANTE: Escolha a opção Retain Stack para StackSet remover somente as instâncias da pilha. StackSet não pode assumir uma função da conta fechada, então ela falhará se tentar assumir a AWSControlTowerExecution função, o que levará à mensagem de erro que você recebeu.

Erro de falha que menciona AWS Config

Se AWS Config estiver habilitado em qualquer AWS região suportada pelo AWS Control Tower, você poderá receber uma mensagem de erro porque uma pré-verificação falhou. A mensagem pode parecer não explicar o problema adequadamente, devido a algum comportamento subjacente do AWS Config.

É possível receber uma mensagem de erro semelhante a uma destas:

  • AWS Control Tower cannot create an AWS Config delivery channel because one already exists. To continue, delete the existing delivery channel and try again
.

  • AWS Control Tower cannot create an AWS Config configuration recorder because one already exists. To continue, delete the existing delivery channel and try again
.

Causa comum: quando o AWS Config serviço é ativado em uma AWS conta, ele cria um gravador de configuração e um canal de entrega com um nome padrão. Se você desativar o AWS Config serviço por meio do console, ele não excluirá o gravador de configuração nem o canal de entrega. Você deve excluí-los por meio da CLI ou modificá-los para uso do AWS Control Tower. Se o AWS Config serviço estiver habilitado em qualquer uma das regiões suportadas pelo AWS Control Tower, isso pode resultar nessa falha.

Se a conta tiver recursos do AWS Config existentes, consulte Inscrever contas que tenham AWS Config recursos existentes para obter instruções sobre como você pode modificar seus recursos existentes.

Ação a realizar: exclua o gravador de configuração e o canal de entrega em todas as regiões com suporte. Desabilitar o AWS Config não é suficiente, o gravador de configuração e o canal de entrega devem ser excluídos por meio da CLI. Depois de excluir o gravador de configuração e o canal de entrega da CLI, tente iniciar o AWS Control Tower novamente e registrar a conta.

Se você estiver no processo de implantação de um produto provisionado, deverá excluí-lo antes de tentar novamente. Caso contrário, você poderá receber uma mensagem de erro semelhante a esta:

  • An error occurred (InvalidParametersException) when calling the ProvisionProduct operation: A stack named Stackname already exists.

Na mensagem, Stackname especifica o nome da pilha.

Aqui estão alguns exemplos de comandos da AWS Config CLI que você pode usar para determinar o status do gravador de configuração e do canal de entrega.

Comandos de exibição:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

Comandos de exclusão:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Para obter mais informações, consulte a AWS Config documentação

Nenhum erro de caminhos de inicialização encontrado

Ao tentar criar uma nova conta, é possível ver uma mensagem de erro semelhante a esta:

No launch paths found for resource: prod-dpqqfywxxxx

Essa mensagem de erro é gerada pelo AWS Service Catalog, que é o serviço integrado que ajuda a provisionar contas no AWS Control Tower.

Causas comuns:

  • Você pode ter feito login como raiz. O AWS Control Tower não permite criar contas quando você faz login como usuário-raiz.

  • Seu usuário do Centro de Identidade do IAM não foi adicionado ao grupo de permissões apropriado. Talvez seja necessário adicionar seu usuário do IAM Identity Center a um desses grupos de permissões: AWSAccountFactory (para acesso do usuário final) ou AWSServiceCatalogAdmins(para acesso de administrador).

  • Se você estiver autenticado como usuário do IAM, deverá adicioná-lo ao AWS Service Catalog portfólio para que ele tenha as permissões corretas.

  • Esse problema também ocorrerá se você tiver as permissões corretas, mas o desvio do AWS Control Tower for detectado e for necessário repará-lo. Para reparar a maioria dos tipos de desvio, escolha Redefinir na página Configurações de zona inicial.

Recebeu um erro de permissões insuficientes

É possível que a conta não tenha as permissões necessárias para executar determinado trabalho em determinado AWS Organizations. Se você encontrar o seguinte tipo de erro, verifique todas as áreas de permissões, como permissões do IAM ou do Centro de Identidade do IAM, para garantir que a permissão não está sendo negada destes locais:

You have insufficient permissions to perform AWS Organizations API actions.

Se você acredita que seu trabalho requer a ação que está tentando e não consegue localizar nenhuma restrição relevante, entre em contato com o administrador do sistema ou o com o AWS Support.

Os controles de detecção não estão em vigor nas contas

Se você expandiu recentemente sua implantação do AWS Control Tower para uma nova AWS região, os controles de detetive recém-aplicados não entrarão em vigor nas novas contas que você criar em qualquer região até que as contas individuais OUs regidas pela AWS Control Tower sejam atualizadas. Os controles de detecção existentes em contas existentes ainda estão em vigor.

Se você tentar habilitar um controle de detecção antes de atualizar suas contas, poderá receber uma mensagem de erro semelhante a esta:

AWS Control Tower can't enable the selected control on this OU. AWS Control Tower cannot apply the control on the OU ou-xxx-xxxxxxxx, because child accounts have dependencies that are missing. Update all child accounts under the OU, then try again.

Ação a realizar: atualizar contas.

Para atualizar suas contas pelo console do AWS Control Tower, consulte Quando atualizar a AWS Control Tower OUs e as contas.

Para atualizar várias contas individuais de forma programática, você pode usar o formulário AWS Service Catalog e APIs a AWS CLI para automatizar as atualizações. Para obter mais informações sobre como abordar o processo de atualização, consulte Vídeo de demonstração.  Você pode substituir a UpdateProvisionedProductAPI pela ProvisionProductAPI mostrada no vídeo.

Se você tiver mais dificuldades em habilitar os controles de detecção nas contas, entre em contato com o AWS Support.

Erro de taxa excedida retornado pela API AWS Organizations

Possível causa

Sua carga de trabalho estava em execução enquanto o AWS Control Tower executava uma verificação diária para verificar se SCPs você estava à deriva.

Etapas a seguir

Se você encontrar um erro de rate exceeded ou controle de utilização de API, siga estas etapas:

  • Execute suas workloads em um horário diferente. (Consulte o cronograma de verificação de invariância da SCP do AWS Control Tower por região para descobrir quando o AWS Control Tower executa suas verificações de auditoria.)

  • Se você estiver chamando o APIs diretamente por meio de HTTP: use o AWS SDK, que repete automaticamente as ações com falha

  • Solicitar um aumento de limite por meio do Service Quotas e do AWS Support

Um exemplo de instruções de solução de problemas para controle de utilização de API no Elastic Beanstalk pode ser encontrado aqui: https://aws.amazon.com/premiumsupport/knowledge-center/elastic-beanstalk-api-throttling-errors/

Falha ao mover uma conta do Account Factory diretamente de uma zona de pouso do AWS Control Tower para outra

Atenção

Essa prática não atende ao pré-requisito para a inscrição de contas elegíveis, porque elas devem fazer parte do mesmo AWS Organization, e cada organização pode ter apenas uma zona de pouso. Se você tentou realizar essa ação e está recebendo várias mensagens de erro, aqui estão algumas informações que podem ser úteis.

Para mover uma conta que você provisionou por meio do Account Factory para outra zona de pouso gerenciada pelo AWS Control Tower, em outra conta de gerenciamento, é necessário remover todos os perfis do IAM e as pilhas associadas a essa conta da UO original. Remova esses recursos de todas as regiões nas quais a conta está implantada.

nota

A melhor maneira de remover os recursos é desprovisionar a conta em sua UO original antes de tentar movê-la.

Se você não remover os recursos, a inscrição na nova UO falhará inevitavelmente. Você pode encontrar uma ou mais mensagens de erro e continuará recebendo mensagens semelhantes até que os perfis e as pilhas restantes sejam removidas de cada região em que a conta foi implantada.

Sempre que receber uma mensagem de erro, você deve remover a conta da nova UO, excluir o recurso antigo que é o assunto da mensagem de erro e tentar mover a conta de volta para a nova UO. Esse processo removing-and-deleting deve ser repetido para cada recurso restante, para cada região em que a conta foi implantada, possivelmente 10 ou 20 vezes. Esses erros repetidos ocorrem porque a conta foi provisionada em uma UO com uma SCP que impede a exclusão do perfil do IAM. Você pode encurtar o processo de recuperação excluindo todos os recursos da conta antes de tentar novamente.

Os exemplos abaixo representam os tipos de mensagens de falha que você poderá receber se os perfis e as pilhas não excluídas permanecerem. Você provavelmente receberá uma dessas mensagens por vez, sempre que tentar registrar a conta, desde que os recursos antigos permaneçam.

Os valores das strings de ID do recurso foram modificados para os exemplos. Seus valores não serão os mesmos em uma mensagem de erro que você possa receber. Você pode receber uma mensagem semelhante a estes exemplos:

  • AWS Control Tower cannot create the IAM role aws-controltower-AdministratorExecutionRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ConfigRecorderRole because the role already exists. To continue, delete the existing IAM role and try again.

  • AWS Control Tower cannot create the IAM role aws-controltower-ForwardSnsNotificationRole because the role already exists. To continue, delete the existing IAM role and try again.

Ou você pode receber uma mensagem de erro sobre uma falha no conjunto de pilhas, semelhante a esta:

 
"Error\":\"StackSetFailState\",
\"Cause\":\"StackSetOperation on AWSControlTowerBP-BASELINE-CLOUDWATCH 
with id 8aXXXXf5-e0XX-4XXa-bc4XX-dXXXXXee31 
has reached SUCCEEDED state but has 1 NON-CURRENT stack instances; 
here is the summary :{ StackSet Id: 
AWSControlTowerBP-BASELINE-CLOUDWATCH:40XXXbf2-Xead-46a1-XXXa-eXXXXecb2ee2, 
Stack instance Id: 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458, 
Status: OUTDATED, 
Status Reason: ResourceLogicalId:ForwardSnsNotification, 
ResourceType:AWS::Lambda::Function, 
ResourceStatusReason:aws-controltower-NotificationForwarder already exists in stack 
arn:aws:cloudformation:eu-west-1:1X23456789XX:
            stack/StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-4feXXXXXX-ecXX-XXc6-bXXX-4ae678/4feXXXXXX-ecX-4ae123458.

Depois que todos os recursos restantes forem removidos da primeira UO, você poderá convidar, provisionar ou inscrever a conta na nova UO com sucesso.

AWS Support

Se pretender mover as suas contas-membros existentes para um plano de suporte diferente, você poderá iniciar sessão em cada conta com credenciais de conta raiz, comparar planos, e definir o nível de suporte que preferir.

Recomendamos atualizar a MFA e os contatos de segurança da conta quando fizer alterações no plano de suporte.