AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

Organization の config ルールを作成または削除できないのはなぜですか?

所要時間1分
0

AWS Organizations の AWS config ルールを作成または削除しようとすると、CREATE_FAILED または DELETE_FAILED エラーが表示されます。組織の config rules に関する問題のトラブルシューティング方法を教えてください。

解決方法

さまざまな問題により、アクセス許可、非アクティブ状態のメンバーアカウント、または構成レコーダーが見つからないなど、組織の config rules が機能しなくなる可能性があります。

: AWS コマンドラインインターフェイス (AWS CLI) のコマンド実行時にエラーが発生した場合は、最新バージョンの AWS CLI を使用していることを確認してください

組織の config ルールのエラーを解決するには、まず次のコマンドを実行して、メンバーアカウントルールの失敗と成功ステータスの詳細を取得します。その後、your-rule-name を組織の config ルール名に置き換えます。コマンドは、ルールが失敗した特定のメンバーアカウントを識別します。

aws configservice get-organization-config-rule-detailed-status --organization-config-rule-name your-rule-name

出力の ErrorCodeErrorMessage を確認し、次のトラブルシューティング手順を実行します。

  • 次の AWS CLI コマンドを実行するか、 組織のコンソールを使用して 、すべてのメンバーアカウントのステータスが Active であることを確認します。
aws organizations list-accounts --query 'Accounts[*].[Id, Status]' --output table
  • 各メンバーアカウントのために AWS Config が設定されていることを確認します。コンソールAWS CLI、または AWS CloudFormation を使用して、特定のメンバーアカウントのために AWS Config を手動で設定できます。すべてのメンバーアカウントのために AWS Config が設定されたら、再度ルールをデプロイします
  • AWS CloudTrail コンソールを開き、ナビゲーションペインで [Event history] (イベント履歴) を選択します。ログをフィルタリングするには、ドロップダウンリストから [Event name] (イベント名) を選択し、検索フィールドに PutOrganizationConfigRule または DeleteOrganizationConfigRule と入力します。OrganizationAccessDeniedException エラーについて、フィルタリングされたログ結果を確認します。
  • 組織の管理アカウントまたは委任された管理者メンバーアカウントから PutOrganizationConfigRule API または DeleteOrganizationConfigRule API を呼び出していることを確認します。管理アカウントから次のコマンドを実行して、委任された管理者メンバーアカウントを識別します。
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
  • OrganizationAccessDeniedException エラーが表示された場合は、必要な許可があることを確認してください。AWS Config の AWS Identity and Access Management (IAM) ロールには、組織の config ルールを作成および削除するための、PutConfigRulePutOrganizationConfigRuleDeleteOrganizationConfigRule 許可が含まれている必要があります。
  • ResourceInUseException エラーが表示された場合は、エラーメッセージを確認して、原因を特定します。エラーメッセージに、是正措置がルールに関連付けられていることが示されている場合は、是正措置を解決します。エラーメッセージでルールのステータスが CREATE_SUCCESSFUL でないことが示されている場合は、AWS Config メンバーアカウントの IAM ロールに DeleteConfigRule 許可が含まれていることを確認します。

カスタム組織の config ルールの作成

Lambda 関数リソースポリシーで AWS Config サービスプリンシパルによる呼び出しが許可されていない場合は、次のように add-permission コマンドを実行して許可を指定します。function-name を Lambda 関数名、Region を AWS リージョン、source-account を管理アカウント ID に置き換えます。

aws lambda add-permission --function-name --region --action "lambda:InvokeFunction" --principal config.amazonaws.com --source-account --statement-id Allow

注: 組織内の複数のメンバーアカウントに許可を付与するには、各アカウントについてコマンドを実行する必要があります。source-account を各メンバーアカウント ID に置き換えます。

関連情報

組織の config rule 詳細ステータスを取得

リストアカウント

リストデリゲート管理者

AWS Config ルールが機能しないのはなぜですか?

トピック
管理とガバナンス
タグ
AWS Config
言語
日本語
AWS公式
AWS公式更新しました 2年前
コメントはありません

関連するコンテンツ