Comment résoudre les erreurs liées au téléchargement ou à l'accès à un accord d'organisation AWS Artifact ?

Dernière mise à jour : 27/04/2021

J'obtiens une erreur de compte ou d'autorisation lorsque j'essaie de télécharger ou d'accéder à un accord AWS Organizations avec AWS Artifact.

Solution

Suivez ces étapes de dépannage :

« Votre compte ne fait pas partie d'une organisation. Pour créer ou rejoindre une organisation, suivez les instructions décrites dans Création et gestion d'une organisation AWS ».

Cette erreur signifie que vous êtes connecté à la console de gestion AWS avec un compte AWS qui ne fait pas partie d'AWS Organizations. Votre compte AWS doit faire partie d'AWS Organizations pour accepter un accord d'organisation. Vous pouvez créer ou rejoindre une organisation en suivant les instructions décrites dans Création et gestion d'une organisation.

« Vous êtes connecté au compte de gestion d'une organisation dans AWS Organizations. Vous pouvez gérer les accords de votre compte de gestion et de tous les comptes membres de votre organisation. En continuant, vous accordez des autorisations AWS pour créer un rôle IAM visant à identifier les comptes membres de votre organisation dans AWS Organizations ».

Cette erreur signifie que l'accès approuvé pour le service Artefact n'est pas activé depuis la console AWS Organizations dans le compte de gestion. L'accès approuvé pour le service Artefact doit être activé à partir du compte de gestion de l'organisation. Ensuite, les accords d'organisation valides pour tous les comptes de l'organisation peuvent être téléchargés à partir de la section Organization Agreements (Accords d'organisation) de la console Artefact du compte de gestion.

Remarque : Vous ne pouvez pas accepter d'accords d'organisation avec des comptes membres. Les comptes membres d'une organisation peuvent uniquement voir ou télécharger les accords d'organisation.

« Vous n'êtes pas autorisé à récupérer les informations relatives à l'organisation de votre compte AWS. Des autorisations sont nécessaires pour décrire votre organisation ».

-ou-

« Vous n'êtes pas autorisé à télécharger l'accord. Des autorisations sont nécessaires pour télécharger cet accord dans AWS Artifact ».

Cette erreur signifie que le compte utilisateur AWS Identity and Access Management (IAM) n'est pas autorisé à accéder aux accords d'organisation.

Si vous accédez à des accords d'organisation avec un utilisateur IAM du compte de gestion, vérifiez que les autorisations sont similaires à celles-ci :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "artifact:AcceptAgreement",
                "artifact:DownloadAgreement",
                "artifact:TerminateAgreement"
            ],
            "Resource": [
                "arn:aws:artifact::*:customer-agreement/*",
                "arn:aws:artifact:::agreement/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateRole",
            "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync"
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync",
            "Condition": {
                "ArnEquals": {
                    "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        }
    ]
}

Si vous accédez à des accords d'organisation avec un utilisateur IAM d'un compte membre, vérifiez que les autorisations sont similaires à celles-ci :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "artifact:AcceptAgreement",
                "artifact:DownloadAgreement"
            ],
            "Resource": [
                "arn:aws:artifact:::agreement/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateRole",
            "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync"
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync",
            "Condition": {
                "ArnEquals": {
                    "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations, consultez Contrôle de l'accès.

« Votre organisation doit prendre en charge toutes les fonctions. »

Votre organisation est configurée uniquement pour la facturation consolidée. Afin d'utiliser les accords d'organisation dans AWS Artifact, votre organisation doit prendre en charge toutes les fonctions avec AWS Organizations. Pour plus d'informations, consultez Activation de toutes les fonctions dans votre organisation.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?