Pourquoi m’est-il impossible de créer ou de supprimer des règles de configuration d'organisation ?

Date de la dernière mise à jour : 28/05/2021

Lorsque j'essaie de créer ou de supprimer une règle de AWS Config pour AWS Organizations, je reçois une erreur CREATE_FAILED ou DELETE_FAILED. Comment puis-je résoudre les problèmes liés aux règles de configuration de l'organisation ?

Solution

Divers problèmes peuvent entraîner le non-fonctionnement des règles de configuration de l'organisation, notamment des autorisations, un compte de membre dans un état inactif ou des enregistreurs de configuration manquants.

Remarque : si vous recevez des erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande AWS (CLI AWS), assurez-vous d'utiliser la version la plus récente de cette dernière.

Pour résoudre les erreurs de règle de configuration d'organisation, exécutez d'abord la commande suivante pour obtenir les détails sur l'échec de la règle de compte membre et le statut de réussite. Remplacez your-rule-name par le nom de votre règle de configuration d’organisation. La commande identifie les comptes membres spécifiques dans lesquels la règle a échoué.

aws configservice get-organization-config-rule-detailed-status --organization-config-rule-name your-rule-name

Examinez le code ErrorCode et ErrorMessage en sortie, puis suivez les étapes de dépannage suivantes :

  • Exécutez la commande AWS CLI suivante ou utilisez la console Organisations pour vérifier que l'état de tous les comptes membres est actif.
aws organizations list-accounts --query 'Accounts[*].[Id, Status]' --output table
  • Confirmez qu'AWS Config est configuré pour chaque compte membre. Vous pouvez configurer AWS Config manuellement pour un compte membre spécifique à l'aide de la console, de l'interface de ligne de commande AWSou d'AWS CloudFormation. Lorsque AWS Config est configuré pour tous les comptes membres, déployez à nouveau la règle.
  • Ouvrez la console CloudTrail, puis sélectionnez Historique des événements dans le volet de navigation. Pour filtrer les journaux, choisissez Nom de l'événement dans la liste déroulante et entrez PutOrganizationConfigRule ou DeleteOrganizationConfigRule dans le champ de recherche. Vérifiez les résultats du journal filtré pour les erreurs OrganizationAccessDeniedException.
  • Vérifiez que vous appelez l'API PutOrganizationConfigRule ou l’API DeleteOrganizationConfigRule à partir du compte principal Organisations ou d'un compte de membre administrateur délégué. Exécutez la commande suivante à partir du compte principal pour identifier le compte de membre administrateur délégué.
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
  • Si vous recevez des erreurs OrganizationAccessdeniedException, vérifiez que vous disposez des autorisations requises. Le rôle AWS Identity and Access Management (IAM) pour AWS Config doit inclure les autorisations PutConfigRule, PutOrganizationConfigRule et DeleteOrganizationConfigRule pour créer et supprimer une règle de configuration d’organisation.
  • Si vous recevez des erreurs ResourceInuseException, consultez le message d'erreur pour identifier la cause. Si le message d'erreur indique qu'une action de correction est associée à la règle, résolvez l'action de correction. Si le message d'erreur indique que l'état de la règle n'est pas CREATE_SUCCESSFUL, vérifiez que le rôle IAM du compte de membre AWS Config inclut les autorisations DeleteConfigRule.

Création de règles de configuration d'organisation personnalisée

Pour créer des règles de configuration d'organisation personnalisées, le rôle IAM de AWS Config doit inclure des autorisations pour appeler la fonction Lambda. Si les autorisations requises sont manquantes, exécutez la commande add-permission suivante :

Remarque : remplacez function-name par le nom de la fonction Lambda, Region par votre région AWS et source-account par l'ID de compte de membre principal.

aws lambda add-permission --function-name --region --action "lambda:InvokeFunction" --principal config.amazonaws.com --source-account --statement-id Allow

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?