我如何排查 AWS Artifact 组织协议访问或下载错误?

上次更新时间:2020 年 5 月 12 日

当尝试使用 AWS Artifact 访问或下载 AWS Organizations 协议时,我遇到账户或权限错误。

解决方法

对于下载或访问错误消息,请按照以下故障排除步骤执行操作。

“您的账户不属于组织。要创建或加入组织,请按照‘创建和管理 AWS 组织’中的说明执行操作。”

此错误表示您使用不属于 AWS Organizations 的 AWS 账户登录到 AWS 管理控制台。您的 AWS 账户必须属于 AWS Organizations 才能接受组织协议。您可以按照创建和管理组织中的说明创建或加入组织。

“您的组织未使用 AWS Artifact 接受其成员账户协议。要开始,请联系您的主账户管理员。”

此错误表示您的主账户未代表组织中的所有成员账户接受 AWS Organizations 的组织协议。主账户必须代表所有成员账户从 AWS Artifact 控制台接受组织协议。请按照接受组织协议中的说明执行操作。

注意:您不能通过成员账户接受组织协议。组织的成员账户只能查看或下载组织协议。

“您无权检索有关 AWS 账户所属组织的信息。您需要权限来描述您的组织。”

-或者-

“您无权下载协议。您需要权限来从 AWS Artifact 中下载此协议。”

此错误表示 AWS Identity and Access Management (IAM) 用户账户无权访问组织协议。

如果要从主账户访问 IAM 用户的组织协议,请确保权限类似于以下内容:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "artifact:AcceptAgreement",
                "artifact:DownloadAgreement",
                "artifact:TerminateAgreement"
            ],
            "Resource": [
                "arn:aws:artifact::*:customer-agreement/*",
                "arn:aws:artifact:::agreement/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateRole",
            "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync"
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync",
            "Condition": {
                "ArnEquals": {
                    "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        }
    ]
}

如果要从成员账户访问 IAM 用户的组织协议,请确保权限类似于以下内容:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "artifact:AcceptAgreement",
                "artifact:DownloadAgreement"
            ],
            "Resource": [
                "arn:aws:artifact:::agreement/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateRole",
            "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync"
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync",
            "Condition": {
                "ArnEquals": {
                    "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        }
    ]
}

有关更多信息,请参阅控制访问权限

“您的组织必须启用所有功能。”

您的组织仅配置了整合账单。要使用 AWS Artifact 中的组织协议,您的组织必须启用 AWS Organizations 的所有功能。有关更多信息,请参阅启用组织中的所有功能


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?