AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Perché non posso creare o eliminare regole di configurazione per AWS Organizations in AWS Config?

4 minuti di lettura

Quando provo a creare o eliminare una regola AWS Config per AWS Organizations, ricevo un errore CREATE_FAILED or DELETE_FAILED.

Breve descrizione

Vari problemi possono causare il mancato funzionamento delle regole di configurazione di un'organizzazione, inclusi i seguenti esempi:

Autorizzazioni
Account membri inattivi
Registratori di configurazione mancanti

Per risolvere gli errori relativi alle regole di configurazione dell'organizzazione, completa i seguenti passaggi:

Trova i dettagli sullo stato della regola dell'account membro.
Risolvi la causa dell'errore della regola.

Risoluzione

Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Trova i dettagli sullo stato della regola dell'account membro

Per trovare i dettagli sullo stato (esito positivo o negativo) della regola dell'account membro, esegui il comando get-organization-config-rule-detailed-status:

aws configservice get-organization-config-rule-detailed-status --organization-config-rule-name your-rule-name

Nota: sostituisci your-rule-name con il nome della tua regola di configurazione dell'organizzazione.

Esamina l'output ErrorCode e ErrorMessage per ulteriori informazioni sul motivo per cui la regola ha esito negativo.

Risolvi la causa dell'errore della regola

Verifica che gli account membri siano attivi

Per verificare che tutti gli account membri siano attivi, esegui il comando list-accounts:

aws organizations list-accounts --query 'Accounts[*].[Id, Status]' --output table

Configura AWS Config per gli account membri

Per configurare AWS Config per ogni account membro, utilizza la console, AWS CLI o AWS CloudFormation. Dopo aver configurato AWS Config per tutti gli account membri, esegui put-organization-config-rule per distribuire nuovamente la regola.

Controlla i log degli eventi

Apri la console AWS CloudTrail, quindi scegli Cronologia degli eventi dal pannello di navigazione. Per filtrare i log, scegli Nome evento dall'elenco a discesa, quindi inserisci PutOrganizationConfigRule o DeleteOrganizationConfigRule nel campo di ricerca. Controlla i risultati del log filtrato per verificare la presenza di errori OrganizationAccessDeniedException .

Aggiorna l'account membro amministratore delegato

Devi effettuare chiamate dall'account di gestione di AWS Organizations o da un account membro amministratore delegato. Se effettui chiamate, ad esempio l'API PutOrganizationConfigRule o l'API DeleteOrganizationConfigRule dall'esterno di questi account, le chiamate hanno esito negativo.

Per identificare l'account membro amministratore delegato, esegui il comando list-delegated administrators:

aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

Aggiorna le autorizzazioni

Se ricevi errori di OrganizationAccessDeniedException, potresti non avere le autorizzazioni richieste. Il ruolo AWS Identity and Access Management (AWS IAM) per AWS Config deve includere le seguenti autorizzazioni per creare ed eliminare regole di configurazione dell'organizzazione:

PutConfigRule
PutOrganizationConfigRule
DeleteOrganizationConfigRule

Per ulteriori informazioni, consulta Autorizzazioni per il ruolo IAM assegnato a AWS Config.

Esamina il messaggio di errore

Se ricevi errori ResourceInUseException, esamina il messaggio di errore per identificarne la causa.

Se il messaggio di errore indica che alla regola è associata un'azione di correzione, esegui l'azione di correzione.
Se il messaggio di errore indica che lo stato della regola non è CREATE_SUCCESSFUL, verifica che il ruolo IAM dell'account membro AWS Config includa le autorizzazioni DeleteConfigRule.

Crea una regola di configurazione dell'organizzazione personalizzata

Se la policy delle risorse della funzione AWS Lambda non consente al principale del servizio AWS Config di invocare la policy, esegui il comando add-permission per fornire le autorizzazioni:

aws lambda add-permission --function-name function-name --region region --action "lambda:InvokeFunction" --principal config.amazonaws.com --source-account source-account --statement-id Allow

Nota: sostituisci function-name con il nome della tua funzione Lambda, region con la tua Regione AWS e source-account e con l'ID dell'account di gestione.

Per concedere autorizzazioni per più account membri dell'organizzazione, esegui il comando per ogni account membro. Sostituisci source-account con l'ID di ogni account membro.

Informazioni correlate

Perché la mia regola AWS Config non funziona?

Argomenti: Management & Governance
Tag: AWS Config
Lingua: Italiano

AWS UFFICIALEAggiornata 7 mesi fa

Contenuto pertinente

Perché la mia regola AWS Config non funziona?
AWS UFFICIALEAggiornata 4 anni fa
Perché la mia regola dei tag obbligatori di AWS Config è bloccata nello stato "Valutazione"?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere i problemi relativi alle regole di configurazione del ciclo di vita di Amazon S3, ossia oggetti che non sono scaduti o non hanno eseguito la transizione?
AWS UFFICIALEAggiornata 10 mesi fa
Perché ricevo l'errore MaxNumberOfConfigurationRecordersExceededException quando creo un registratore di configurazione AWS Config?
AWS UFFICIALEAggiornata 8 mesi fa