为什么我在将 AWS Organizations 成员账户设置为 AWS Config 规则的委派管理员时遇到错误？

1 分钟阅读

我按照说明使用委派管理员部署 AWS Config 规则和一致性包。但我收到了与以下内容类似的错误消息：

调用 DeregisterDelegatedAdministrator 操作时发生错误 (AccessDeniedException)：您没有访问此资源的权限。
调用 RegisterDelegatedAdministrator 操作时发生错误 (InvalidInputException)：您指定了无法识别的服务委托人。
调用 RegisterDelegatedAdministrator 操作时发生错误 (ConstraintViolationException)：您已超出了所委派服务的委派管理员的允许数量。

解决方法

请针对收到的特定错误消息执行以下问题排查步骤。

**重要提示：**开始之前，请确保您已安装并配置 AWS 命令行界面 (AWS CLI)。

“调用 DeregisterDelegatedAdministrator 操作时发生错误 (AccessDeniedException)：您没有访问此资源的权限。”

此错误意味着您从 AWS Organizations 成员账户运行 register-delegated-administrator 命令，类似于以下内容：

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

您只能从 AWS Organizations 主账户委派管理员。从 AWS Organizations 主账户运行 register-delegated-administrator 命令。

“调用 RegisterDelegatedAdministrator 操作时发生错误 (InvalidInputException)：您指定了无法识别的服务委托人。”

如果您的 AWS Organizations 组织未启用所有功能和受信任访问，则可能会发生此错误。

1. 运行与以下内容类似的 enable-aws-service-access 命令：

$aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com

2. 从 AWS Organizations 主账户运行 register-delegated-administrator 命令，以委派成员账户部署 AWS Organization 一致性包和 AWS Config 规则：

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

“调用 RegisterDelegatedAdministrator 操作时发生错误 (ConstraintViolationException)：您已超出了所委派服务的委派管理员的允许数量。”

此错误意味着已注册委派管理员的最大成员账户上限为 3。

1. 要确定注册了哪些委派管理员，请运行与以下内容类似的 list-delegated-administrators 命令：

$aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

您会收到类似如下内容的输出：

{
    "DelegatedAdministrators": [
        {
            "Id": "987654321098",
            "Arn": "arn:aws:organizations::123456789012:account/o-anz8bj0hfs/987654321098",
            "Email": "youremailalias@example.com",
            "Name": "your-account-name",
            "Status": "ACTIVE",
            "JoinedMethod": "CREATED",
            "JoinedTimestamp": 1557432887.92,
            "DelegationEnabledDate": 1590681859.773
        }
    ]
}

2. 要取消注册委派管理员，请运行 deregister-delegated-administrator 命令：

$aws organizations deregister-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

3. 重新运行 register-delegated-administrator 命令，以管理员身份委派账户：

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

为什么我在将 AWS Organizations 成员账户设置为 AWS Config 规则的委派管理员时遇到错误？

解决方法

“调用 DeregisterDelegatedAdministrator 操作时发生错误 (AccessDeniedException)：您没有访问此资源的权限。”

“调用 RegisterDelegatedAdministrator 操作时发生错误 (InvalidInputException)：您指定了无法识别的服务委托人。”

“调用 RegisterDelegatedAdministrator 操作时发生错误 (ConstraintViolationException)：您已超出了所委派服务的委派管理员的允许数量。”

相关信息

相关内容