Por que não consigo criar ou excluir regras de configuração da organização?

Resolução

Vários problemas podem fazer com que as regras de configuração da organização não funcionem, incluindo permissões, uma conta de membro em estado inativo ou ausência de gravadores de configuração.

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando a versão mais recente da AWS CLI.

Para resolver erros de regras de configuração da organização, primeiro execute o comando a seguir para obter detalhes sobre a falha e o status de sucesso da regra da conta do membro. Em seguida, substitua your-rule-name pelo nome da regra de configuração da sua organização. O comando identifica as contas de membros específicas nas quais a regra falhou.

aws configservice get-organization-config-rule-detailed-status --organization-config-rule-name your-rule-name

Examine a saída ErrorCode e ErrorMessage e siga estas etapas de solução de problemas:

• Execute o seguinte comando da AWS CLI ou use o console do Organizations para verificar se o status de todas as contas dos membros está Ativo.

aws organizations list-accounts --query 'Accounts[*].[Id, Status]' --output table

• Confirme se o AWS Config está configurado para cada conta de membro. Você pode configurar o AWS Config manualmente para uma conta de membro específica usando o console, a AWS CLI ou o AWS CloudFormation. Depois que o AWS Config estiver configurado para todas as contas dos membros, implante a regra novamente.
• Abra o console do AWS CloudTrail e escolha Histórico de eventos no painel de navegação. Para filtrar os registros, escolha Nome do evento na lista suspensa e digite PutOrganizationConfigRule ou DeleteOrganizationConfigRule no campo de pesquisa. Examine os resultados do registro filtrado em busca de erros de OrganizationAccessDeniedException.
• Verifique se você está chamando a API PutOrganizationConfigRule ou a API DeleteOrganizationConfigRule da conta de gerenciamento do Organizations ou de uma conta de membro administrador delegado. Execute o comando a seguir na conta de gerenciamento para identificar a conta do membro administrador delegado.

aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

• Se você receber erros de OrganizationAccessDeniedException, verifique se você tem as permissões necessárias. O perfil do AWS Identity and Access Management (IAM) para o AWS Config deve incluir as permissões PutConfigRule, PutOrganizationConfigRule e DeleteOrganizationConfigRule para criar e excluir regras de configuração da organização.
• Se você receber erros de ResourceInUseException, revise a mensagem de erro para identificar a causa. Se a mensagem de erro indicar que uma ação de remediação está associada à regra, resolva a ação de remediação. Se a mensagem de erro indicar que o status da regra não for CREATE_SUCCESSFUL, verifique se o perfil do IAM da conta de membro do AWS Config inclui as permissões DeleteConfigRule.

Criação de regras de configuração da organização personalizada

Se a política de recursos da função do Lambda não permitir que o principal do serviço AWS Config a invoque, forneça permissões executando o comando add-permission da seguinte forma. Substitua function-name pelo nome da função do Lambda, a Região pela sua região da AWS e source-account pelo ID da conta de gerenciamento.

aws lambda add-permission --function-name --region --action "lambda:InvokeFunction" --principal config.amazonaws.com --source-account --statement-id Allow

Observação: para conceder permissões para várias contas de membros em sua organização, o comando deve ser executado para cada conta. Substitua a source-acount pelo ID de cada conta de membro.

---

Informações relacionadas

get-organization-config-rule-detailed-status

list-accounts

list-delegated-administrators

Por que minha regra do AWS Config não está funcionando?