为什么我在将 AWS Organizations 成员账户设置为 AWS Config 规则的委派管理员时遇到错误?

上次更新时间:2020 年 8 月 7 日

我按照说明使用委派管理员部署 AWS Config 规则和一致性包。但我收到了与以下内容类似的错误消息:

  • 调用 DeregisterDelegatedAdministrator 操作时发生错误 (AccessDeniedException):您没有访问此资源的权限。
  • 调用 RegisterDelegatedAdministrator 操作时发生错误 (InvalidInputException):您指定了无法识别的服务委托人。
  • 调用 RegisterDelegatedAdministrator 操作时发生错误 (ConstraintViolationException):您已超出了所委派服务的委派管理员的允许数量。

解决方法

请针对收到的特定错误消息执行以下问题排查步骤。

重要提示:开始之前,请确保您已安装配置 AWS 命令行界面 (AWS CLI)。

“调用 DeregisterDelegatedAdministrator 操作时发生错误 (AccessDeniedException):您没有访问此资源的权限。”

此错误意味着您从 AWS Organizations 成员账户运行 register-delegated-administrator 命令,类似于以下内容:  

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

您只能从 AWS Organizations 主账户委派管理员。从 AWS Organizations 主账户运行 register-delegated-administrator 命令。 

“调用 RegisterDelegatedAdministrator 操作时发生错误 (InvalidInputException):您指定了无法识别的服务委托人。”

如果您的 AWS Organizations 组织未启用所有功能受信任访问,则可能会发生此错误。

1.    运行与以下内容类似的 enable-aws-service-access 命令:

$aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com

2.    从 AWS Organizations 主账户运行 register-delegated-administrator 命令,以委派成员账户部署 AWS Organization 一致性包和 AWS Config 规则:

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

“调用 RegisterDelegatedAdministrator 操作时发生错误 (ConstraintViolationException):您已超出了所委派服务的委派管理员的允许数量。”

此错误意味着已注册委派管理员的最大成员账户上限为 3。

1.    要确定注册了哪些委派管理员,请运行与以下内容类似的 list-delegated-administrators 命令:

$aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

您会收到类似如下内容的输出:

{
    "DelegatedAdministrators": [
        {
            "Id": "987654321098",
            "Arn": "arn:aws:organizations::123456789012:account/o-anz8bj0hfs/987654321098",
            "Email": "youremailalias@example.com",
            "Name": "your-account-name",
            "Status": "ACTIVE",
            "JoinedMethod": "CREATED",
            "JoinedTimestamp": 1557432887.92,
            "DelegationEnabledDate": 1590681859.773
        }
    ]
}

2.    要取消注册委派管理员,请运行 deregister-delegated-administrator 命令:

$aws organizations deregister-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

3.    重新运行 register-delegated-administrator 命令,以管理员身份委派账户:  

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID