Warum erhalte ich Fehler beim Einrichten eines Mitgliedskontos von AWS Organizations als delegierter Administrator für AWS-Config-Regeln?

Lesedauer: 3 Minute

Ich habe die Anweisungen zur Bereitstellung von AWS-Config-Regeln und -Konformitätspaketen mithilfe eines delegierten Administrators befolgt. Ich habe jedoch eine Fehlermeldung erhalten, die der folgenden ähnelt:

Beim Aufrufen der Operation DeregisterDelegatedAdministrator ist ein Fehler aufgetreten (AccessDeniedException): Sie sind nicht berechtigt, auf diese Ressource zuzugreifen.
Beim Aufrufen der Operation RegisterDelegatedAdministrator ist ein Fehler aufgetreten (InvalidInputException): Sie haben einen unbekannten Service-Prinzipal angegeben.
Beim Aufrufen der Operation RegisterDelegatedAdministrator ist ein Fehler aufgetreten (ConstraintViolationException): Sie haben die zulässige Anzahl delegierter Administratoren für den delegierten Dienst überschritten.

Behebung

Folgen Sie diesen Schritten zur Fehlerbehebung für die spezifische Fehlermeldung, die Sie erhalten haben.

Wichtig: Bevor Sie beginnen, stellen Sie sicher, dass Sie die AWS-Befehlszeilenschnittstelle (AWS CLI) installiert und konfiguriert haben.

„Beim Aufrufen der Operation DeregisterDelegatedAdministrator ist ein Fehler aufgetreten (AccessDeniedException): Sie sind nicht berechtigt, auf diese Ressource zuzugreifen.“

Dieser Fehler bedeutet, dass Sie den Befehl register-delegated-administrator von einem Mitgliedskonto von AWS Organizations aus ausgeführt haben, das dem folgenden ähnelt:

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

Sie können einen Administrator nur vom primären Konto von AWS Organizations aus delegieren. Führen Sie den Befehl register-delegated-administrator vom primären Konto von AWS Organizations aus.

„Beim Aufrufen der Operation RegisterDelegatedAdministrator ist ein Fehler aufgetreten (InvalidInputException): Sie haben einen unbekannten Service-Principal angegeben.“

Dieser Fehler kann auftreten, wenn in Ihrer AWS Organizations nicht alle Funktionen und der vertrauenswürdige Zugriff aktiviert sind.

1. Führen Sie den Befehl enable-aws-service-access aus, der dem folgenden ähnelt:

$aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com

2. Führen Sie den Befehl register-delegated-administrator vom primären Konto von AWS Organizations aus, um das Mitgliedskonto für die Bereitstellung von AWS-Organization-Konformitätspaketen und AWS-Config-Regeln zu delegieren:

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

„Beim Aufrufen der Operation RegisterDelegatedAdministrator ist ein Fehler aufgetreten (ConstraintViolationException): Sie haben die zulässige Anzahl delegierter Administratoren für den delegierten Dienst überschritten.“

Dieser Fehler bedeutet, dass das maximale Mitgliedskontolimit von 3 für registrierte delegierte Administratoren erreicht ist.

1. Um festzustellen, welche delegierten Administratoren registriert sind, führen Sie den Befehl list-delegated-administrators ähnlich dem folgenden aus:

$aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

Sie erhalten eine Ausgabe, die der folgenden ähnelt:

{
    "DelegatedAdministrators": [
        {
            "Id": "987654321098",
            "Arn": "arn:aws:organizations::123456789012:account/o-anz8bj0hfs/987654321098",
            "Email": "youremailalias@example.com",
            "Name": "your-account-name",
            "Status": "ACTIVE",
            "JoinedMethod": "CREATED",
            "JoinedTimestamp": 1557432887.92,
            "DelegationEnabledDate": 1590681859.773
        }
    ]
}

2. Um die Registrierung eines delegierten Administrators aufzuheben, führen Sie den Befehl deregister-delegated-administrator:

$aws organizations deregister-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

3. Führen Sie den Befehlregister-delegated-administrator erneut aus, um ein Konto als Administrator zu delegieren:

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

Relevanter Inhalt

Ich erhalte beim Starten oder Aufrufen einer EC2-Instance InsufficientInstanceCapacity-Fehler. Was kann ich tun?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie behebe ich die Fehler „ReceipHandleIsInvalid“ und „InvalidParameterValue“ beim Aufrufen der AWS-SQS-DeleteMessage-API?
AWS OFFICIALAktualisiert vor 6 Monaten
Wie behebe ich S3-bezogene Fehler beim Einrichten der ELB-Zugriffsprotokollierung?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich Probleme beim Einrichten eines neuen Kapazitätsanbieters oder beim Aktualisieren eines vorhandenen Kapazitätsanbieters für meinen Amazon-ECS-Cluster?
AWS OFFICIALAktualisiert vor 2 Jahren