故障排除 AWS Organizations - AWS Organizations
排查一般问题

故障排除 AWS Organizations

如果您在使用 AWS Organizations 时遇到问题,请查询本部分中的相关主题。

排查一般问题

使用此处的信息可帮助您诊断并修复在使用 AWS Organizations 时可能遇到的拒绝访问或其他常见问题。

当我向 AWS Organizations 发出请求时,收到了“access denied”(访问被拒绝) 消息

  • 验证您是否具有调用您请求的操作和资源的许可。管理员必须通过将 IAM policy 附加到您的用户、组或角色来授予权限。如果授予这些权限的策略语句包含任何条件 (例如,当日时间或 IP 地址限制),则您还必须在发送请求时满足这些要求。有关查看或修改适用于用户、组或角色的策略的信息,请参阅《IAM 用户指南》中的使用策略

  • 如果您手动签署 API 请求(不使用 AWS 开发工具包),请验证您已正确签署请求

当我使用临时安全凭证发送请求时,收到了“access denied”(拒绝访问) 消息

  • 请确认您用于发出请求的 用户或角色具有正确的权限。临时安全凭证权限派生自 用户或角色,因此权限范围仅限于相应 用户或角色的权限。有关临时安全凭证权限的确定方式的更多信息,请参阅《IAM 用户指南》中的控制临时安全凭证的权限

  • 验证您的请求是否采用了正确的签名和适当的格式。有关详细信息,请参阅所选软件开发工具包的工具包文档或《IAM 用户指南》中的使用临时安全凭证以请求对AWS资源的访问权限

  • 验证您的临时安全凭证没有过期。有关更多信息,请参阅《IAM 用户指南》中的请求临时安全凭证

当我尝试以成员账户身份离开组织或以管理账户身份删除成员账户时,收到“access denied”(拒绝访问)消息

  • 要删除成员账户,必须先在此成员账户中启用 IAM 用户访问账单的权限。有关更多信息,请参阅《AWS Billing 用户指南》中的激活对账单和成本管理控制台的访问权

  • 仅当账户拥有作为独立账户运行所需的信息时,才能从组织中删除此账户。当您使用 AWS Organizations 控制台、API 或 AWS CLI 命令在组织中创建账户时,系统不会自动收集此类信息。对于您想用作独立账户的账户,您必须接受 AWS 客户协议,选择支持计划,提供和验证所需联系信息,并提供当前的付款方式。AWS 将使用该付款方式向账户未绑定到组织期间发生的任何可结算(非 AWS 免费套餐)AWS 活动收费。有关更多信息,请参阅 使用 AWS Organizations 使成员账户退出组织

尝试向组织中添加账户时,我收到“quota exceeded (超出限额)”消息

组织存在最大账户数限制。已删除或已关闭的账户会继续计入此配额。

加入邀请也计入组织的最大账户数中。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期,则撤销此计数。

我在添加或删除账户时收到了一条“此操作需要一段等待期”消息

某些操作需要一段等待期。例如,您无法立即删除新创建的账户。过几天再尝试此操作。如果您在添加和删除账户时遇到有关账户配额的问题,请参阅最大值和最小值来了解有关如何请求提高配额的信息。

尝试向组织中添加账户时,我收到“organization is still initializing”消息

如果您收到此类错误,而且距您创建组织已过了一个多小时,请联系 AWS Support

当我尝试将账户邀请到我的组织时,收到“Invitations are disabled (邀请被禁用)”消息。

当您启用组织中的所有功能时,会发生这种情况。此操作可能需要一些时间才能完成,并且需要所有成员账户进行响应。在操作完成之前,您无法邀请新账户加入组织。

我所做的更改不总是立即可见

作为全球数据中心的计算机要访问的服务,AWS Organizations 使用称为最终一致性的分布式计算模型。您在 AWS Organizations 中所做的任何更改需要一些时间才会在相关终端节点中可见。它在服务器与服务器之间或复制区域与复制区域之间发送数据需要时间,这会造成一定的延迟。AWS Organizations 也使用缓存来提高性能,但在某些情况下,这可能会增加时间。在之前缓存的数据超时之前,更改可能不可见。

在设计全球应用程序时,需要考虑这些可能的延迟,即使在一个位置所做的更改对另一个位置不是立即可见,也要确保按预期工作。

有关其他某些 AWS 服务如何受此影响的更多信息,请参阅以下资源: