AWS Artifact との AWS Organizations に関する契約にアクセスし、または当該契約をダウンロードしようとすると、アカウントまたはアクセス権限のエラーが発生します。
解決策
エラーメッセージのトラブルシューティングを行うには、次の手順に従ってください。
「アカウントは組織内にありません。組織を作成し、または参加するには、「AWS 組織の作成と管理」の指示に従ってください」
このエラーは、AWS Organizations の一部ではない AWS アカウントを使用して AWS マネジメントコンソールにログインしているため発生します。組織の契約を承諾するには、アカウント用の組織を作成する必要があります。
「AWS Organizations の組織の管理アカウントにサインインしています。管理アカウントと組織内のすべてのメンバーアカウントの契約を管理できます。続行すると、お客様は、AWS Organizations の組織内のメンバーアカウントを識別する IAM ロールを作成するための AWS アクセス権限を付与することになります。」
このエラーは、AWS Artifact サービスの信頼されたアクセスが、管理アカウントの AWS Organizations コンソールから有効にされていないために発生します。AWS Artifact サービスの信頼されたアクセスは、組織の管理アカウントから有効にする必要があります。
その後、組織内のすべてのアカウントに有効な組織契約をダウンロードできます。
- 管理アカウントから AWS Artifact コンソール を開きます。
- [組織契約] を選択します。
- 次に、[契約書をダウンロード] を選択します。
注: メンバーアカウントで組織の契約を承諾することはできません。組織のメンバーアカウントができるのは、組織の契約を表示またはダウンロードすることのみです。
「AWS アカウントの組織に関する情報を取得する権限がありません。組織を説明する権限が必要です」
または、
「契約をダウンロードする権限がありません。AWS Artifact で本契約をダウンロードするには権限が必要です。」
このエラーは、AWS Identity and Access Management (IAM) ユーザーアカウントに組織の契約にアクセスする権限がないために発生します。
管理アカウントから IAM ユーザーで組織の契約にアクセスする場合は、アクセス権限が次のようになっていることを確認してください。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:AcceptAgreement",
"artifact:DownloadAgreement",
"artifact:TerminateAgreement"
],
"Resource": [
"arn:aws:artifact:::customer-agreement/",
"arn:aws:artifact:::agreement/"
]
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam:::role/"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam:::role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact";
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:EnableAWSServiceAccess",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
}
]
}
メンバーアカウントから IAM ユーザーで組織の契約にアクセスする場合は、アクセス権限が次のようになっていることを確認してください。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:AcceptAgreement",
"artifact:DownloadAgreement",
"artifact:TerminateAgreement"
],
"Resource": [
"arn:aws:artifact:::customer-agreement/",
"arn:aws:artifact:::agreement/"
]
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": ""
}
]
}
詳細については、AWS Artifact の ID とアクセス管理を参照してください。
「組織は、すべての機能に対して有効になっている必要があります」
このエラーは、組織が一括請求のみに設定されているために発生します。AWS Artifact で組織の契約を使用するには、組織が AWS Organizations のすべての機能に対して有効になっている必要があります。詳細については、組織内ですべての機能を有効にするを参照してください。
関連情報
Managing agreements in AWS Artifact