Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Warum kann ich keine Organisationskonfigurationsregeln erstellen oder löschen?

Lesedauer: 3 Minute
0

Wenn ich versuche, eine AWS Config-Regel für AWS-Organisationen zu erstellen oder zu löschen, erhalte ich die Fehlermeldung CREATE_FAILED oder DELETE_FAILED. Wie kann ich Probleme mit Organisationskonfigurationsregeln beheben?

Auflösung

Verschiedene Probleme können dazu führen, dass Organisationskonfigurationsregeln nicht funktionieren. Dazu gehören beispielsweise Berechtigungen, ein Mitgliedskonto in einem inaktiven Status oder fehlende Konfigurationsrekorder.

Hinweis: Wenn Sie beim Ausführen von Befehlen der AWS Command Line Interface (AWS CLI) Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS CLI verwenden.

Um Fehler bei der Organisationskonfigurationsregeln zu beheben, führen Sie zunächst den folgenden Befehl aus, um Informationen zum Fehler bei der Mitgliedskontoregel und zum Erfolgsstatus abzurufen. Ersetzen Sie dann your-rule-name durch den Namen Ihrer Organisationskonfigurationsregel. Der Befehl identifiziert die spezifischen Mitgliedskonten, bei denen die Regel fehlgeschlagen ist.

aws configservice get-organization-config-rule-detailed-status --organization-config-rule-name your-rule-name

Überprüfen Sie die Ausgabe ErrorCode und ErrorMessage und folgen Sie dann diesen Schritten zur Fehlerbehebung:

  • Führen Sie den folgenden AWS-CLI-Befehl aus oder verwenden Sie die Organisationskonsole, um zu überprüfen, ob der Status aller Mitgliedskonten Aktiv ist.
aws organizations list-accounts --query 'Accounts[*].[Id, Status]' --output table
  • Stellen Sie sicher, dass AWS Config für jedes Mitgliedskonto eingerichtet ist. Sie können AWS Config manuell für ein bestimmtes Mitgliedskonto mithilfe der Konsole, der AWS-CLI oder AWS CloudFormation einrichten. Nachdem AWS Config für alle Mitgliedskonten eingerichtet wurde, stellen Sie die Regel erneut bereit.
  • Öffnen Sie die AWS CloudTrail-Konsole und wählen Sie dann im Navigationsbereich die Option Ereignisverlauf aus. Um die Protokolle zu filtern, wählen Sie in der Dropdownliste den Eintrag Ereignisname aus und geben Sie dann PutOrganizationConfigRule oder DeleteOrganizationConfigRule in das Suchfeld ein. Überprüfen Sie die gefilterten Protokollergebnisse auf OrganizationAccessDeniedException-Fehler.
  • Stellen Sie sicher, dass Sie die PutOrganizationConfigRule-API oder die DeleteOrganizationConfigRule-API vom Verwaltungskonto der Organisation oder von einem delegierten Administrator-Mitgliedskonto aus aufrufen. Führen Sie den folgenden Befehl vom Verwaltungskonto aus, um das Mitgliedskonto des delegierten Administrators zu identifizieren.
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
  • Wenn Sie OrganizationAccessDeniedException-Fehler erhalten, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Die AWS Identity and Access Management (IAM) -Rolle für AWS Config muss die Berechtigungen PutConfigRule, PutOrganizationConfigRule und DeleteOrganizationConfigRule enthalten, um Organisationskonfigurationsregeln zu erstellen und zu löschen.
  • Wenn Sie ResourceInUseException-Fehler erhalten, überprüfen Sie die Fehlermeldung, um die Ursache zu ermitteln. Wenn die Fehlermeldung darauf hinweist, dass der Regel eine Korrekturmaßnahme zugeordnet ist, führen Sie die Korrekturmaßnahme aus. Wenn die Fehlermeldung darauf hinweist, dass der Regelstatus nicht CREATE\ _SUCCESSFUL lautet, überprüfen Sie, ob die IAM-Rolle des AWS Config-Mitgliedskontos DeleteConfigRule-Berechtigungen enthält.

Erstellen benutzerdefinierter Regeln für die Organisationskonfiguration

Wenn die Lambda-Funktionsressourcenrichtlinie es dem AWS Config-Serviceprinzipal nicht erlaubt, sie aufzurufen, gewähren Sie Berechtigungen, indem Sie den Befehl add-permission wie folgt ausführen. Ersetzen Sie function-name durch den Namen der Lambda-Funktion, Region durch Ihre AWS-Region und source-account durch die Verwaltungskonto-ID.

aws lambda add-permission --function-name --region --action "lambda:InvokeFunction" --principal config.amazonaws.com --source-account --statement-id Allow

**Hinweis:**Um Berechtigungen für mehrere Mitgliedskonten in Ihrer Organisation zu gewähren, muss der Befehl für jedes Konto ausgeführt werden. Ersetzen Sie source-account durch die ID jedes Mitgliedskontos.

Verwandte Informationen

get-organization-config-rule-detailed-status

list-accounts

list-delegated-administrators

Warum funktioniert meine AWS Config-Regel nicht?

Themen
Management & Unternehmensführung
Tags
AWS Config
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren

Relevanter Inhalt