AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

¿Por qué no puedo crear o eliminar reglas de configuración para AWS Organizations en AWS Config?

4 minutos de lectura

Cuando intento crear o eliminar una regla de AWS Config para AWS Organizations, aparece el error CREATE_FAILED o DELETE_FAILED.

Descripción corta

Hay varios problemas que pueden provocar que las reglas de configuración de la organización no funcionen, incluidos los siguientes ejemplos:

Permisos
Cuentas de miembros inactivas
Faltan grabadores de configuración

Para resolver los errores de las reglas de configuración de la organización, sigue estos pasos:

Busca los detalles de estado de la regla de la cuenta de miembro.
Solución de la causa del error de la regla.

Resolución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Búsqueda de los detalles de estado de la regla de la cuenta de miembro

Para encontrar los detalles del estado de error y éxito de la regla de la cuenta de miembro, ejecuta el comando get-organization-config-rule-detailed-status:

aws configservice get-organization-config-rule-detailed-status --organization-config-rule-name your-rule-name

Nota: Sustituye your-rule-name por el nombre de la regla de configuración de tu organización.

Revisa el resultado de ErrorCode y ErrorMessage para obtener más información sobre los motivos por los que falla la regla.

Solución de la causa del error de la regla

Comprobar que las cuentas de miembros estén activas

Para comprobar que todas las cuentas de miembros estén activas, ejecuta el comando list-accounts:

aws organizations list-accounts --query 'Accounts[*].[Id, Status]' --output table

Configuración de AWS Config para las cuentas de miembros

Para configurar AWS Config para cada cuenta de miembro, utiliza la consola, la AWS CLI o AWS CloudFormation. Después de configurar AWS Config para todas las cuentas de miembros, ejecuta put-organization-config-rule para volver a desplegar la regla.

Revisión de los registros de eventos

Abre la consola de AWS CloudTrail y, a continuación, selecciona Historial de eventos en el panel de navegación. Para filtrar los registros, elige el Nombre del evento en la lista desplegable y, a continuación, escribe PutOrganizationConfigRule o DeleteOrganizationConfigRule en el campo de búsqueda. Revisa los resultados del registro filtrado para ver si hay errores de OrganizationAccessDeniedException.

Actualización de la cuenta de miembro administrador delegado

Debes realizar llamadas desde la cuenta de administración de AWS Organizations o desde una cuenta de miembro administrador delegado. Si realizas llamadas, como la API PutOrganizationConfigRule API o la API DeleteOrganizationConfigRule desde fuera de estas cuentas, las llamadas fallan.

Para identificar la cuenta de miembro administrador delegado, ejecuta el comando list-delegated administrators:

aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

Actualización de los permisos

Si recibes errores de OrganizationAccessDeniedException, es posible que no dispongas de los permisos necesarios. El rol de AWS Identity and Access Management (IAM) para AWS Config debe incluir los siguientes permisos para crear y eliminar las reglas de configuración de la organización:

PutConfigRule
PutOrganizationConfigRule
DeleteOrganizationConfigRule

Para obtener más información, consulta Permisos para el rol de IAM asignado a AWS Config.

Revisión del mensaje de error

Si recibes errores de ResourceInUseException, revisa el mensaje de error para identificar la causa.

Si el mensaje de error indica que hay una acción de corrección asociada a la regla, resuelve la acción de corrección.
Si el mensaje de error indica que el estado de la regla no es CREATE_SUCCESSFUL, comprueba que el rol de IAM de la cuenta de miembro de AWS Config incluya los permisos DeleteConfigRule.

Creación de una regla de configuración de organización personalizada

Si la política de recursos de la función de AWS Lambda no permite que la entidad principal del servicio AWS Config la invoque, ejecuta el comando add-permission para proporcionar los permisos:

aws lambda add-permission --function-name function-name --region region --action "lambda:InvokeFunction" --principal config.amazonaws.com --source-account source-account --statement-id Allow

Nota: Sustituye function-name por el nombre de la función de Lambda, region por tu región de AWS y source-account por el ID de la cuenta de administración.

Para conceder permisos a varias cuentas de miembros de tu organización, ejecuta el comando para cada cuenta de miembro. Sustituye source-account por el ID de cada cuenta de miembro.

Información relacionada

¿Por qué mi regla de AWS Config no funciona?

Temas: Management & Governance
Etiquetas: AWS Config
Idioma: Español

OFICIAL DE AWSActualizada hace 9 meses

Sin comentarios

Contenido relevante

No permite crear crawlers
nn
preguntada hace 4 meses
no puedo Eliminar direccion IP elastica
Luis
preguntada hace un año
no me puedo conectar a mi servidor
rafafer
preguntada hace 4 meses
Reabrir una cuenta Root eliminada
Mas que Sushi
preguntada hace 3 meses
Como validar que servicios protege AWS Guarduty si no tengo Findings.
Respuesta aceptada
David
preguntada hace un año
¿Cómo puedo añadir medidas de corrección a las reglas de AWS Config de la organización?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué no funciona mi regla de AWS Config?
OFICIAL DE AWSActualizada hace 5 años
¿Por qué mi regla de etiquetas obligatorias de AWS Config está bloqueada en el estado «Evaluando»?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo solucionar los problemas relacionados con una política sobre copias de seguridad que no crea trabajos en mis cuentas de miembro de una organización?
OFICIAL DE AWSActualizada hace 10 meses