Account Factory for Terraform (AFT) 疑難排解指南

超過 AWS 資源配額

如果您的日誌群組指出您超過 AWS 資源配額，請聯絡 AWS Support。Account Factory AWS 服務 搭配資源配額使用 ，其中包括 AWS CodeBuild AWS Organizations和 AWS Systems Manager。如需詳細資訊，請參閱下列內容：

Account Factory 的過時版本

如果您遇到問題，且認為問題是錯誤，請確定您擁有最新版本的 Account Factory。如需詳細資訊，請參閱更新 Account Factory 版本。

已對 Account Factory 原始程式碼進行本機變更

Account Factory 是開放原始碼專案。AWS Control Tower 支援 Account Factory 核心程式碼。如果您對 Account Factory 核心程式碼進行本機變更，AWS Control Tower 只會盡力支援您的 Account Factory 部署。

Account Factory 角色許可不足

Account Factory 會建立 IAM 角色和政策，以管理最終帳戶部署和自訂。如果您變更這些角色或政策，Account Factory 管道可能無法執行特定動作。如需詳細資訊，請參閱必要角色。

帳戶儲存庫未正確填入

在佈建帳戶之前，請務必遵循部署後步驟。

手動變更 OU 後未偵測到偏離

手動變更組織單位 (OU) 時，不會偵測到漂移。這是因為 Account Factory 的事件驅動性質所致。提交帳戶請求時，Terraform 管理的資源是 Amazon DynamoDB 項目，而不是直接帳戶。項目變更後，請求會放入佇列中，AWS Control Tower 會在其中透過 Service Catalog （管理帳戶詳細資訊的服務） 處理它們。如果您手動變更 OU，則不會偵測到偏離，因為帳戶請求未變更。

帳戶請求 （電子郵件地址/名稱） 已存在

此問題通常會在佈建期間或作為 時導致 Service Catalog 產品故障ConditionalCheckFailedException。

您可以執行下列其中一項操作，找到有關問題的詳細資訊：

格式不正確的帳戶請求

請確定您的帳戶請求遵循預期的結構描述。如需範例，請參閱 GitHub 上的 terraform-aws-control_tower_account_factory。

超過 AWS Organizations 資源配額

請確定您的帳戶請求不超過 AWS Organizations 資源配額。如需詳細資訊，請參閱AWS 組織配額。

未加入 Account Factory 的目標帳戶

確定自訂請求中包含的所有帳戶都已加入 Account Factory。如需詳細資訊，請參閱更新現有帳戶。

自訂請求目標存在於 DynamoDB 資料表 中的帳戶aft-request-metadata，但不存在於帳戶請求儲存庫中

執行下列其中一項操作，以格式化您的自訂調用請求，以排除違規帳戶：

用於 Terraform Cloud 的錯誤字符

請確定您設定正確的字符。Terraform Cloud 僅支援以團隊為基礎的權杖，不支援以組織為基礎的權杖。

無法在建立帳戶自訂管道之前建立帳戶；無法自訂帳戶

變更帳戶請求儲存庫中的帳戶規格。當您進行變更時，例如變更帳戶的標籤值，即使管道不存在， Account Factory 仍會遵循嘗試建立管道的路徑。

檢查 AFT 版本

更新 AFT 版本