내용으로 건너뛰기
AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post
re:Post 소개

AWS Config에서 AWS Organizations의 구성 규칙을 생성 또는 삭제할 수 없는 이유는 무엇입니까?

3분 분량
0

AWS Organizations에 대한 AWS Config 규칙을 생성하거나 삭제하려고 하면 CREATE_FAILED 또는 DELETE_FAILED 오류가 발생합니다.

간략한 설명

다음 예를 포함한 다양한 문제로 인해 조직 구성 규칙이 작동하지 않을 수 있습니다.

  • 권한
  • 비활성 멤버 계정
  • 구성 레코더 누락

조직 구성 규칙 오류를 해결하려면 다음 단계를 완료하십시오.

  1. 멤버 계정 규칙의 상태 세부 정보를 찾습니다.
  2. 규칙 실패의 원인을 해결합니다.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

멤버 계정 규칙의 상태 세부 정보 찾기

멤버 계정 규칙의 실패 및 성공 상태 세부 정보를 찾으려면 get-organization-config-rule-detailed-status 명령을 실행합니다.

aws configservice get-organization-config-rule-detailed-status --organization-config-rule-name your-rule-name

참고: your-rule-name을 조직 구성 규칙 이름으로 바꾸십시오.

규칙 실패 이유에 대한 자세한 내용은 출력된 ErrorCodeErrorMessage를 검토하십시오.

규칙 실패의 원인 해결

멤버 계정이 활성 상태인지 확인

모든 멤버 계정이 활성 상태인지 확인하려면 list-accounts 명령을 실행합니다.

aws organizations list-accounts --query 'Accounts[*].[Id, Status]' --output table

멤버 계정에 대한 AWS Config 구성

각 멤버 계정에 대해 AWS Config를 구성하려면 콘솔, AWS CLI 또는 AWS CloudFormation을 사용합니다. 모든 멤버 계정에 대해 AWS Config를 구성한 후 put-organization-config-rule을 실행하여 규칙을 다시 배포합니다.

이벤트 로그 검토

AWS CloudTrail 콘솔을 연 다음, 탐색 창에서 이벤트 기록을 선택합니다. 로그를 필터링하려면 드롭다운 목록에서 이벤트 이름을 선택한 다음, 검색 필드에 PutOrganizationConfigRule 또는 DeleteOrganizationConfigRule을 입력합니다. OrganizationAccessDeniedException 오류에 대해 필터링된 로그 결과를 검토하십시오.

위임된 관리자 멤버 계정 업데이트

AWS Organizations 관리 계정 또는 위임된 관리자 멤버 계정에서 호출해야 합니다. 이러한 계정 외부에서 PutOrganizationConfigRule API 또는 DeleteOrganizationConfigRule API와 같은 호출을 수행하면 호출이 실패합니다.

위임된 관리자 멤버 계정을 식별하려면 list-delegated administrators 명령을 실행합니다.

aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

권한 업데이트

OrganizationAccessDeniedException 오류가 발생하는 경우 필요한 권한이 없을 수 있습니다. AWS Config의 AWS Identity and Access Management(IAM) 역할에는 조직 구성 규칙을 생성하고 삭제할 수 있는 다음과 같은 권한이 포함되어야 합니다.

  • PutConfigRule
  • PutOrganizationConfigRule
  • DeleteOrganizationConfigRule

자세한 내용은 AWS Config에 할당된 IAM 역할에 대한 권한을 참조하십시오.

오류 메시지 검토

ResourceInUseException 오류가 발생하면 해당 오류 메시지를 검토하여 원인을 파악하십시오.

  • 오류 메시지에 수정 작업이 규칙과 연결되어 있다고 표시되는 경우 수정 작업을 해결합니다.
  • 오류 메시지에 규칙 상태가 CREATE_SUCCESSFUL이 아닌 것으로 표시되는 경우, AWS Config 멤버 계정 IAM 역할에 DeleteConfigRule 권한이 포함되어 있는지 확인합니다.

사용자 지정 조직 구성 규칙 만들기

AWS Lambda 함수 리소스 정책에서 AWS Config 서비스 보안 주체의 정책 호출을 허용하지 않는 경우, add-permission 명령을 실행하여 권한을 제공하십시오.

aws lambda add-permission --function-name function-name --region region --action "lambda:InvokeFunction" --principal config.amazonaws.com --source-account source-account --statement-id Allow

참고: function-name을 Lambda 함수 이름으로 바꾸고, region을 AWS 리전으로 바꾸고, source-account를 관리 계정 ID로 바꾸십시오.

조직의 여러 멤버 계정에 권한을 부여하려면 각 멤버 계정에 대해 명령을 실행합니다. source-account를 각 멤버 계정 ID로 바꾸십시오.

관련 정보

AWS Config 규칙이 작동하지 않는 이유는 무엇입니까?

주제
Management & Governance
태그
AWS Config
언어
한국어
AWS 공식업데이트됨 6달 전
댓글 없음

관련 콘텐츠