Pourquoi est-ce que je reçois des erreurs lors de la configuration d'un compte membre d'AWS Organizations en tant qu'administrateur délégué pour les règles AWS Config ?

Dernière mise à jour : 07/08/2020

J'ai suivi les instructions de déploiement de règles AWS Config et de packs de conformité en utilisant un administrateur délégué. Toutefois, un message d'erreur de ce type s’affiche :

  • Une erreur s'est produite (AccessDeniedException) lors de l'appel de l'opération DeregisterDelegatedAdministrator : vous n'êtes pas autorisé à accéder à cette ressource.
  • Une erreur s'est produite (InvalidInputException) lors de l'appel de l'opération RegisterDelegatedAdministrator : vous avez spécifié un mandataire de service non reconnu.
  • Une erreur s'est produite (ConstraintViolationException) lors de l'appel de l'opération RegisterDelegatedAdministrator : vous avez dépassé le nombre autorisé d'administrateurs délégués pour le service délégué.

Solution

Suivez ces étapes de dépannage en fonction du message d'erreur reçu.

Important : avant de commencer, veillez à avoir installé et configuré l'interface de ligne de commande AWS (AWS CLI).

« Une erreur s'est produite (AccessDeniedException) lors de l'appel de l'opération DeregisterDelegatedAdministrator : vous n'êtes pas autorisé à accéder à cette ressource. »

Cette erreur signifie que vous avez exécuté la commande register-delegated-administrator à partir d'un compte membre d'AWS Organizations, comme dans l'exemple suivant :  

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

Vous ne pouvez déléguer un administrateur qu'à partir du compte AWS Organizations principal. Exécutez la commande register-delegated-administrator à partir du compte AWS Organizations principal.  

« Une erreur s'est produite (InvalidInputException) lors de l'appel de l'opération RegisterDelegatedAdministrator : vous avez spécifié un mandataire de service non reconnu. »

Cette erreur peut survenir lorsque toutes les fonctionnalités et les accès approuvés n'ont pas été activés pour votre organisation AWS Organizations.

1.    Exécutez la commande enable-aws-service-access comme suit :

$aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com

2.    Exécutez la commande register-delegated-administrator à partir du compte AWS Organizations principal afin de déléguer le compte membre chargé du déploiement des packs de conformité AWS Organizations et des règles AWS Config :

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

« Une erreur s'est produite (ConstraintViolationException) lors de l'appel de l'opération RegisterDelegatedAdministrator : vous avez dépassé le nombre autorisé d'administrateurs délégués pour le service délégué. »

Cette erreur signifie que le compte membre a dépassé la limite maximale de trois administrateurs délégués enregistrés.

1.    Pour déterminer quels administrateurs délégués sont enregistrés, exécutez la commande list-delegated-administrators, comme dans cet exemple :

$aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

Le résultat obtenu doit être similaire à ce qui suit :

{
    "DelegatedAdministrators": [
        {
            "Id": "987654321098",
            "Arn": "arn:aws:organizations::123456789012:account/o-anz8bj0hfs/987654321098",
            "Email": "youremailalias@example.com",
            "Name": "your-account-name",
            "Status": "ACTIVE",
            "JoinedMethod": "CREATED",
            "JoinedTimestamp": 1557432887.92,
            "DelegationEnabledDate": 1590681859.773
        }
    ]
}

2.    Pour annuler l'inscription d'un administrateur délégué, exécutez la commande deregister-delegated-administrator :

$aws organizations deregister-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

3.    Exécutez à nouveau la commande register-delegated-administrator pour déléguer un compte en tant qu'administrateur :  

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID