AWS Organizations の AWS config ルールを作成または削除しようとすると、CREATE_FAILED または DELETE_FAILED エラーが表示されます。組織の config rules に関する問題のトラブルシューティング方法を教えてください。
解決方法
さまざまな問題により、アクセス許可、非アクティブ状態のメンバーアカウント、または構成レコーダーが見つからないなど、組織の config rules が機能しなくなる可能性があります。
注: AWS コマンドラインインターフェイス (AWS CLI) のコマンド実行時にエラーが発生した場合は、最新バージョンの AWS CLI を使用していることを確認してください。
組織の config ルールのエラーを解決するには、まず次のコマンドを実行して、メンバーアカウントルールの失敗と成功ステータスの詳細を取得します。その後、your-rule-name を組織の config ルール名に置き換えます。コマンドは、ルールが失敗した特定のメンバーアカウントを識別します。
aws configservice get-organization-config-rule-detailed-status --organization-config-rule-name your-rule-name
出力の ErrorCode と ErrorMessage を確認し、次のトラブルシューティング手順を実行します。
- 次の AWS CLI コマンドを実行するか、 組織のコンソールを使用して 、すべてのメンバーアカウントのステータスが Active であることを確認します。
aws organizations list-accounts --query 'Accounts[*].[Id, Status]' --output table
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
- OrganizationAccessDeniedException エラーが表示された場合は、必要な許可があることを確認してください。AWS Config の AWS Identity and Access Management (IAM) ロールには、組織の config ルールを作成および削除するための、PutConfigRule、PutOrganizationConfigRule、DeleteOrganizationConfigRule 許可が含まれている必要があります。
- ResourceInUseException エラーが表示された場合は、エラーメッセージを確認して、原因を特定します。エラーメッセージに、是正措置がルールに関連付けられていることが示されている場合は、是正措置を解決します。エラーメッセージでルールのステータスが CREATE_SUCCESSFUL でないことが示されている場合は、AWS Config メンバーアカウントの IAM ロールに DeleteConfigRule 許可が含まれていることを確認します。
カスタム組織の config ルールの作成
Lambda 関数リソースポリシーで AWS Config サービスプリンシパルによる呼び出しが許可されていない場合は、次のように add-permission コマンドを実行して許可を指定します。function-name を Lambda 関数名、Region を AWS リージョン、source-account を管理アカウント ID に置き換えます。
aws lambda add-permission --function-name --region --action "lambda:InvokeFunction" --principal config.amazonaws.com --source-account --statement-id Allow
注: 組織内の複数のメンバーアカウントに許可を付与するには、各アカウントについてコマンドを実行する必要があります。source-account を各メンバーアカウント ID に置き換えます。
関連情報
組織の config rule 詳細ステータスを取得
リストアカウント
リストデリゲート管理者
AWS Config ルールが機能しないのはなぜですか?