AWS Config ルールの委任管理者として AWS Organizations メンバーアカウントをセットアップしているときにエラーが発生するのはなぜですか?

最終更新日: 2020 年 8 月 7 日

委任管理者を使用して AWS Config ルールとコンフォーマンスパックをデプロイするための指示に従ったのですが、以下のようなエラーが表示されました。

  • RegisterDelegatedAdministrator オペレーションを呼び出す際にエラー (AccessDeniedException) が発生しました: このリソースにアクセスする許可がありません。
  • RegisterDelegatedAdministrator オペレーションを呼び出す際にエラー (InvalidInputException) が発生しました: 認識されないサービスプリンシパルが指定されました。
  • RegisterDelegatedAdministrator オペレーションを呼び出す際にエラー (ConstraintViolationException) が発生しました: 委任サービスに対して許可される委任管理者の数を超過しました。

解決方法

表示された特定のエラーメッセージについて、これらのトラブルシューティング手順を実行してください。

重要: 開始する前に、AWS コマンドラインインターフェイス (AWS CLI) がインストールされ、設定済みであることを確認してください。

「RegisterDelegatedAdministrator オペレーションを呼び出す際にエラー (AccessDeniedException) が発生しました: このリソースにアクセスする許可がありません。」

このエラーは、以下のような AWS Organizations メンバーアカウントから register-delegated-administrator コマンドを実行したことを意味します。  

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

管理者を委任できるのは、AWS Organizations のプライマリアカウントからのみです。AWS Organizations のプライマリアカウントから register-delegated-administrator コマンドを実行します。 

「RegisterDelegatedAdministrator オペレーションを呼び出す際にエラー (InvalidInputException) が発生しました: 認識されないサービスプリンシパルが指定されました。」

このエラーは、AWS Organizations の組織ですべての機能信頼されたアクセスが有効化されていない場合に発生する可能性があります。

1.    以下のような enable-aws-service-access コマンドを実行します。

$aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com

2.    AWS Organizations のプライマリアカウントから register-delegated-administrator コマンドを実行して、AWS Organizations のコンフォーマンスパックと AWS Config ルールをデプロイするメンバーアカウントを委任します。

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

「RegisterDelegatedAdministrator オペレーションを呼び出す際にエラー (ConstraintViolationException) が発生しました: 委任サービスに対して許可される委任管理者の数を超過しました。」

このエラーは、登録された委任管理者の数がメンバーアカウントの上限である 3 に達したことを意味します。

1.    どの委任管理者が登録されているかを判断するには、以下のような list-delegated-administrators コマンドを実行します。

$aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

以下のような出力が表示されます。

{
    "DelegatedAdministrators": [
        {
            "Id": "987654321098",
            "Arn": "arn:aws:organizations::123456789012:account/o-anz8bj0hfs/987654321098",
            "Email": "youremailalias@example.com",
            "Name": "your-account-name",
            "Status": "ACTIVE",
            "JoinedMethod": "CREATED",
            "JoinedTimestamp": 1557432887.92,
            "DelegationEnabledDate": 1590681859.773
        }
    ]
}

2.    委任管理者の登録を解除するには、deregated-administrator コマンドを実行します。

$aws organizations deregister-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

3.    再度 register-delegated-administrator コマンドを実行して、アカウントを管理者として委任します。  

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID