AWS Artifact 組織の契約へのアクセスまたはダウンロードに関連するエラーをトラブルシューティングするにはどうすればよいですか?

最終更新日: 2021 年 4 月 27 日

AWS Artifact との AWS Organizations に関する契約にアクセスし、または当該契約をダウンロードしようとすると、アカウントまたはアクセス権限のエラーが発生します。

解決方法

次のトラブルシューティング手順に従ってください。

「アカウントは組織内にありません。組織を作成し、または組織に参加するには、AWS Organization の作成と管理に記載される手順に従ってください」

このエラーは、AWS Organizations の一部ではない AWS アカウントを使用して AWS マネジメントコンソールにログインしていることを意味します。組織の契約を承諾するには、AWS アカウントが AWS Organizations の一部である必要があります。組織の作成と管理に記載される手順に従って、組織を作成し、または組織に参加できます。

「AWS Organizations の組織の管理アカウントにサインインしています。管理アカウントと組織内のすべてのメンバーアカウントの契約を管理できます。続行すると、お客様は、AWS Organizations の組織内のメンバーアカウントを識別する IAM ロールを作成するための AWS アクセス権限を付与することになります。」

このエラーは、Artifact サービスの信頼されたアクセスが、管理アカウントの AWS Organizations コンソールから有効にされていないことを意味します。Artifact サービスの信頼されたアクセスは、組織の管理アカウントから有効にする必要があります。その後、管理アカウントの Artifact コンソールの [Organization Agreements] (組織契約) セクションから、Organization 内のすべてのアカウントについて有効な組織契約をダウンロードできます。

注: メンバーアカウントで組織の契約を承諾することはできません。組織のメンバーアカウントができるのは、組織の契約を表示またはダウンロードすることのみです。

「AWS アカウントの組織に関する情報を取得するアクセス権限がありません。組織の説明を記述するためのアクセス権限が必要です」

- または -

「契約をダウンロードするためのアクセス権限がありません。AWS Artifact でこの契約をダウンロードするには、アクセス権限が必要です」

このエラーは、AWS Identity and Access Management (IAM) ユーザーアカウントが組織の契約にアクセスするためのアクセス権限を有していないことを意味します。

管理アカウントから IAM ユーザーで組織の契約にアクセスする場合は、アクセス権限が次のようになっていることを確認してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "artifact:AcceptAgreement",
                "artifact:DownloadAgreement",
                "artifact:TerminateAgreement"
            ],
            "Resource": [
                "arn:aws:artifact::*:customer-agreement/*",
                "arn:aws:artifact:::agreement/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateRole",
            "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync"
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync",
            "Condition": {
                "ArnEquals": {
                    "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        }
    ]
}

メンバーアカウントから IAM ユーザーで組織の契約にアクセスする場合は、アクセス権限が次のようになっていることを確認してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "artifact:AcceptAgreement",
                "artifact:DownloadAgreement"
            ],
            "Resource": [
                "arn:aws:artifact:::agreement/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateRole",
            "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync"
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync",
            "Condition": {
                "ArnEquals": {
                    "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        }
    ]
}

詳細については、アクセスの制御をご参照ください。

「組織は、すべての機能に対して有効になっている必要があります」

組織は、一括請求 (コンソリデーティッドビリング) に対してのみ設定されています。AWS Artifact で組織の契約を使用するには、組織が AWS Organizations のすべての機能に対して有効になっている必要があります。詳細については、組織内ですべての機能を有効にするをご参照ください。


この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?