Warum erhalte ich Fehler beim Einrichten eines Mitgliedskontos von AWS Organizations als delegierter Administrator für AWS-Config-Regeln?
Ich habe die Anweisungen zur Bereitstellung von AWS-Config-Regeln und -Konformitätspaketen mithilfe eines delegierten Administrators befolgt. Ich habe jedoch eine Fehlermeldung erhalten, die der folgenden ähnelt:
- Beim Aufrufen der Operation DeregisterDelegatedAdministrator ist ein Fehler aufgetreten (AccessDeniedException): Sie sind nicht berechtigt, auf diese Ressource zuzugreifen.
- Beim Aufrufen der Operation RegisterDelegatedAdministrator ist ein Fehler aufgetreten (InvalidInputException): Sie haben einen unbekannten Service-Prinzipal angegeben.
- Beim Aufrufen der Operation RegisterDelegatedAdministrator ist ein Fehler aufgetreten (ConstraintViolationException): Sie haben die zulässige Anzahl delegierter Administratoren für den delegierten Dienst überschritten.
Behebung
Folgen Sie diesen Schritten zur Fehlerbehebung für die spezifische Fehlermeldung, die Sie erhalten haben.
Wichtig: Bevor Sie beginnen, stellen Sie sicher, dass Sie die AWS-Befehlszeilenschnittstelle (AWS CLI) installiert und konfiguriert haben.
„Beim Aufrufen der Operation DeregisterDelegatedAdministrator ist ein Fehler aufgetreten (AccessDeniedException): Sie sind nicht berechtigt, auf diese Ressource zuzugreifen.“
Dieser Fehler bedeutet, dass Sie den Befehl register-delegated-administrator von einem Mitgliedskonto von AWS Organizations aus ausgeführt haben, das dem folgenden ähnelt:
$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID
Sie können einen Administrator nur vom primären Konto von AWS Organizations aus delegieren. Führen Sie den Befehl register-delegated-administrator vom primären Konto von AWS Organizations aus.
„Beim Aufrufen der Operation RegisterDelegatedAdministrator ist ein Fehler aufgetreten (InvalidInputException): Sie haben einen unbekannten Service-Principal angegeben.“
Dieser Fehler kann auftreten, wenn in Ihrer AWS Organizations nicht alle Funktionen und der vertrauenswürdige Zugriff aktiviert sind.
1. Führen Sie den Befehl enable-aws-service-access aus, der dem folgenden ähnelt:
$aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
2. Führen Sie den Befehl register-delegated-administrator vom primären Konto von AWS Organizations aus, um das Mitgliedskonto für die Bereitstellung von AWS-Organization-Konformitätspaketen und AWS-Config-Regeln zu delegieren:
$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID
„Beim Aufrufen der Operation RegisterDelegatedAdministrator ist ein Fehler aufgetreten (ConstraintViolationException): Sie haben die zulässige Anzahl delegierter Administratoren für den delegierten Dienst überschritten.“
Dieser Fehler bedeutet, dass das maximale Mitgliedskontolimit von 3 für registrierte delegierte Administratoren erreicht ist.
1. Um festzustellen, welche delegierten Administratoren registriert sind, führen Sie den Befehl list-delegated-administrators ähnlich dem folgenden aus:
$aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
Sie erhalten eine Ausgabe, die der folgenden ähnelt:
{ "DelegatedAdministrators": [ { "Id": "987654321098", "Arn": "arn:aws:organizations::123456789012:account/o-anz8bj0hfs/987654321098", "Email": "youremailalias@example.com", "Name": "your-account-name", "Status": "ACTIVE", "JoinedMethod": "CREATED", "JoinedTimestamp": 1557432887.92, "DelegationEnabledDate": 1590681859.773 } ] }
2. Um die Registrierung eines delegierten Administrators aufzuheben, führen Sie den Befehl deregister-delegated-administrator:
$aws organizations deregister-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID
3. Führen Sie den Befehlregister-delegated-administrator erneut aus, um ein Konto als Administrator zu delegieren:
$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID
Ähnliche Informationen
Wie verschiebe ich Konten zwischen Organisationen in AWS Organizations?
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor einem Monat
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 4 Jahren