我曾经有一个 OU 让我们使用帐户 prod 和 ss 调用 x,然后我创建了一个新的 OU 让 y 将其称为 y。
现在我正在尝试将 prod 和 ss 从 OU x 移动到 OU y。然而,这一直失败。当我尝试重新注册 OU y 以确定这是否会解决它时,我收到以下错误:
Check the external resources that apply to y
and its member accounts. Choose Register OU again after the external resources are repaired.
在某个时候,我下载了包含以下信息的预检查表:
Add the IAM user to the AWS Service Catalog portfolio before registering your OU.
我去了服务目录并将自己添加为 IAM 用户,但问题仍然存在。我怎样才能解决这个问题?
我遇到了同样的错误,最终原因是我在 AWS 管理账户中以root身份登录。这阻止了 OU 在 Control Tower 中注册,并阻止了相应的帐户被注册。
我以root身份退出。当我再次登录时,这次使用具有管理员访问权限的 AWS用户帐户,我能够正确注册 OU。
这可能会失败还有其他原因。AWS 文档在文档中强调了以下“注册失败的常见原因” 。
- 您的 IAM 委托人可能缺乏预置账户所需的权限。要注册现有账户,AWSControlTowerExecution 角色必须存在于您正在注册的账户中。
- AWS Security Token Service (AWS STS) 在您所在区域或 AWS Control Tower 支持的任何区域的 AWS 账户中被禁用。
- 您可能登录到需要添加到 AWS Service Catalog 中的 Account Factory Portfolio 的账户。必须先添加账户,然后您才能访问 Account Factory,以便您可以在 AWS Control Tower 中创建或注册账户。如果未将适当的用户或角色添加到 Account Factory Portfolio,您将在尝试添加帐户时收到错误消息。
- 您可以以 root 身份登录。
- 您尝试注册的账户可能具有残留的 AWS Config 设置。特别是,该账户不得有配置记录器或交付通道,因此必须通过 AWS CLI 删除这些,然后才能注册账户。
- 如果该账户属于另一个拥有主账户的 OU,包括另一个 AWS Control Tower OU,您必须在其当前 OU 中终止该账户,然后才能加入另一个 OU。必须删除原始 OU 中的现有资源。否则,注册将失败。
正如我所说,就我而言,这是第四个原因:我以 root 身份登录。