Account Factory for Terraform (AFT) 故障排除指南

已超过 AWS 资源配额

如果您的日志组显示您已超出 AWS 资源配额，请联系 Supp AWS ort。Account Factory 使用的资源 AWS 服务 配额包括 AWS CodeBuild AWS Organizations、和 AWS Systems Manager。有关更多信息，请参阅下列内容：

Account Factory 的过时版本

如果您遇到问题并认为问题是错误，请确保您使用的是最新版本的 Account Factory。有关更多信息，请参阅更新 Account Factory 版本。

对 Account Factory 源代码进行了本地更改

Account Factory 是一个开源项目。AWS Control Tower 支持 Account Factory 核心代码。如果您在本地对 Account Factory 核心代码进行更改，AWS Control Tower 仅在尽力而为的基础上支持您的账户工厂部署。

Account Factory 角色权限不足

Account Factory 创建 IAM 角色和策略来管理付费账户的部署和自定义。如果您更改这些角色或政策，Account Factory 渠道可能无法执行某些操作。有关更多信息，请参阅必填角色。

账户存储库未正确填充

在配置账户之前，请务必按照部署后的步骤进行操作。

手动更改 OU 后未检测到偏差

手动更改组织单位 (OU) 时，不会检测到偏差。这是由于 Account Factory 的事件驱动性质所致。提交账户请求时，Terraform 管理的资源是亚马逊 DynamoDB 项目，而不是直接账户。更改项目后，请求将被放入队列，AWS Control Tower 通过服务目录（管理账户详细信息的服务）处理这些请求。如果您手动更改 OU，则不会检测到偏差，因为账户请求未更改。

账户申请（电子邮件地址/姓名）已存在

该问题通常会导致 Service Catalog 产品在置备期间出现故障ConditionalCheckFailedException。

您可以通过执行以下任一操作来找到有关该问题的更多信息：

账号请求格式不正确

请确保您的账户请求符合预期架构。有关示例，请参阅上的 terraform-aws-control_tower_account_factory。 GitHub

超过 AWS Organizations

确保您的账户请求不超过 AWS Organizations 资源配额。有关更多信息，请参阅 Organizati ons 的 AWS 配额。

目标账户未加入 Account Factory

确保自定义请求中包含的所有账户都已登录到 Account Factory。有关更多信息，请参阅更新现有账户。

自定义请求目标的账户存在于 DynamoDB aft-request-metadata 表中，但不存在于账户请求存储库中

通过执行以下任一操作，格式化您的自定义调用请求以排除违规账户：

为 Terraform Cloud 使用了错误的代币

确保您设置了正确的令牌。Terraform Cloud 仅支持基于团队的代币，不支持基于组织的代币。

在创建账户自定义渠道之前创建账户失败；无法自定义账户

在账户请求存储库中更改账户规范。当您进行更改（例如更改帐户的标签值）时，即使管道不存在，Account Factory 也会遵循尝试创建管道的路径。

查看 AFT 版本

更新 AFT 版本