Perché non riesco a creare o eliminare le regole di configurazione dell'organizzazione?
Quando provo a creare o eliminare una regola AWS Config per AWS Organizations, ricevo un errore CREATE_FAILED o DELETE_FAILED. Come posso risolvere i problemi relativi alle regole di configurazione dell'organizzazione?
Risoluzione
Vari problemi possono causare il mancato funzionamento delle regole di configurazione dell'organizzazione, tra cui le autorizzazioni, un account membro in stato inattivo o la mancanza di registratori di configurazione.
Nota: Se ricevi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente dell'interfaccia della linea di comando AWS.
Per risolvere gli errori delle regole di configurazione dell'organizzazione, esegui innanzitutto il seguente comando per ottenere i dettagli relativi agli errori e allo stato di successo della regola dell'account membro. Quindi, sostituisci your-rule-name con il nome della regola di configurazione dell'organizzazione. Il comando identifica gli account dei membri specifici in cui la regola non è riuscita.
aws configservice get-organization-config-rule-detailed-status --organization-config-rule-name your-rule-name
Controlla l'output ErrorCode e ErrorMessage, quindi segui questi passaggi per la risoluzione dei problemi:
- Esegui il seguente comando dell'interfaccia della linea di comando AWS o utilizza la console Organizzazioni per verificare che lo stato di tutti gli account membri sia Attivo.
aws organizations list-accounts --query 'Accounts[*].[Id, Status]' --output table
- Verifica che AWS Config sia configurato per ogni account membro. Puoi configurare AWS Config manualmente per un account membro specifico utilizzando la console, l'interfaccia della linea di comando AWS o AWS CloudFormation. Dopo aver configurato AWS Config per tutti gli account membri, distribuisci nuovamente la regola.
- Apri la console AWS CloudTrail, quindi scegli Cronologia eventi dal riquadro di navigazione. Per filtrare i log, scegli Nome evento dall'elenco a discesa, quindi inserisci PutOrganizationConfigRule o DeleteOrganizationConfigRule nel campo di ricerca. Controlla i risultati del registro filtrato per verificare la presenza di errori OrganizationAccessDeniedException .
- Verifica di chiamare l'API PutOrganizationConfigRule o l'API DeleteOrganizationConfigRule dall'account di gestione dell'organizzazione o da un account membro amministratore delegato. Esegui il comando seguente dall'account di gestione per identificare l'account membro amministratore delegato.
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
- Se ricevi errori OrganizationAccessDeniedException verifica di disporre delle autorizzazioni richieste. Il ruolo AWS Identity and Access Management (IAM) per AWS Config deve includere le autorizzazioni PutConfigRule, PutOrganizationConfigRule e autorizzazioni DeleteOrganizationConfigRule per creare ed eliminare le regole di configurazione dell'organizzazione.
- Se ricevi errori ResourceInUseException, controlla il messaggio di errore per identificarne la causa. Se il messaggio di errore indica che alla regola è associata un'azione di correzione, risolvi l'azione di correzione. Se il messaggio di errore indica che lo stato della regola non è CREATE_SUCCESSFUL, verifica che il ruolo IAM dell'account membro AWS Config includa le autorizzazioni DeleteConfigRule.
Creazione di regole di configurazione dell'organizzazione personalizzate
Se la policy delle risorse della funzione Lambda non consente al responsabile del servizio AWS Config di richiamarla, fornisci le autorizzazioni eseguendo il comando add-permission come segue. Sostituisci function-name con il nome della funzione Lambda, la regione con la tua Regione AWS e source-account con l'ID dell'account di gestione.
aws lambda add-permission --function-name --region --action "lambda:InvokeFunction" --principal config.amazonaws.com --source-account --statement-id Allow
**Nota:**Per concedere le autorizzazioni per più account membri dell'organizzazione, è necessario eseguire il comando per ogni account. Sostituisci source-account con l'ID di ogni account membro.
Informazioni correlate
Contenuto pertinente
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 8 mesi fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 3 anni fa