AWS Config에 대해 위임된 관리자로 AWS Organizations 멤버 계정을 설정하는 동안 오류가 발생하는 이유는 무엇입니까?

최종 업데이트 날짜: 2020년 8월 7일

지침에 따라 위임된 관리자로 AWS Config 규칙 및 규정 준수 팩을 배포했습니다. 하지만 다음과 유사한 오류가 발생했습니다.

  • An error occurred (AccessDeniedException) when calling the DeregisterDelegatedAdministrator operation: You don't have permissions to access this resource.
  • An error occurred (InvalidInputException) when calling the RegisterDelegatedAdministrator operation: You specified an unrecognized service principal.
  • An error occurred (ConstraintViolationException) when calling the RegisterDelegatedAdministrator operation: You have exceeded the allowed number of delegated administrators for the delegated service.

​해결 방법

발생한 특정 오류 메시지에 대해 다음 문제 해결 단계를 수행하십시오.

중요: 시작하기 전에 AWS 명령줄 인터페이스(AWS CLI)를 설치구성해야 합니다.

"An error occurred (AccessDeniedException) when calling the DeregisterDelegatedAdministrator operation: You don't have permissions to access this resource."

이 오류는 AWS Organizations 멤버 계정에서 다음과 유사한 register-delegated-administrator 명령을 실행했음을 의미합니다.  

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

AWS Organizations 기본 계정에서만 관리자를 위임할 수 있습니다. AWS Organizations 기본 계정에서 register-delegated-administrator 명령을 실행하십시오.  

"An error occurred (InvalidInputException) when calling the RegisterDelegatedAdministrator operation: You specified an unrecognized service principal."

AWS Organizations 조직에서 모든 기능신뢰할 수 있는 액세스를 활성화하지 않은 경우 이 오류가 발생할 수 있습니다.

1.    다음과 유사한 enable-aws-service-access 명령을 실행하십시오.

$aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com

2.    AWS Organizations 기본 계정에서 register-delegated-administrator 명령을 실행해 멤버 계정을 위임하여 AWS Organizations 규정 준수 팩 및 AWS Config 규칙을 배포하십시오.

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

"An error occurred (ConstraintViolationException) when calling the RegisterDelegatedAdministrator operation: You have exceeded the allowed number of delegated administrators for the delegated service."

이 오류는 등록되어 있는 위임된 관리자에 대한 최대 멤버 계정 제한인 3에 도달했음을 의미합니다.

1.    등록되어 있는 위임된 관리자를 확인하려면 다음과 유사한 list-delegated-administrators 명령을 실행하십시오.

$aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

그러면 다음과 유사한 출력이 나타납니다.

{
    "DelegatedAdministrators": [
        {
            "Id": "987654321098",
            "Arn": "arn:aws:organizations::123456789012:account/o-anz8bj0hfs/987654321098",
            "Email": "youremailalias@example.com",
            "Name": "your-account-name",
            "Status": "ACTIVE",
            "JoinedMethod": "CREATED",
            "JoinedTimestamp": 1557432887.92,
            "DelegationEnabledDate": 1590681859.773
        }
    ]
}

2.    위임된 관리자의 등록을 취소하려면 다음과 유사한 deregister-delegated-administrator 명령을 실행하십시오.

$aws organizations deregister-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID

3.    register-delegated-administrator 명령을 다시 실행하여 계정을 관리자로 위임하십시오.  

$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID