Wie behebe ich einen AWSControlTowerExecution-Rollenfehler, der bei der Registrierung eines AWS Control Tower-Kontos auftritt?

Lesedauer: 3 Minute

Ich möchte einen AWSControlTowerExecution-Rollenfehler beheben, der auftritt, wenn ich versuche, mein AWS Control Tower-Konto zu registrieren.

Behebung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Wenn du ein Konto bei AWS Control Tower registrierst, muss die Rolle AWSControlTowerExecution vorhanden und für das Konto ordnungsgemäß konfiguriert sein. Ist dies nicht der Fall, wird möglicherweise die folgende Fehlermeldung angezeigt:

„AWS Control Tower is unable to assume the AWSControlTowerExecution role in the account. Add the role to your account if it's not present, and try again“

Melde dich bei dem Konto an, das du bei AWS Control Tower registrieren möchtest. Prüfe anschließend, ob die Rolle AWSControlTowerExecution in der AWS Identity and Access Management (IAM)-Konsole vorhanden ist. Wenn sie vorhanden ist, überprüfe, ob die Rolle eine Vertrauensbeziehung mit dem Verwaltungskonto von AWS Organizations hat. Prüfe außerdem, ob der Rolle eine Administratorzugriffsrichtlinie zugeordnet ist.

Wenn die Rolle im Konto nicht vorhanden ist und das Konto Teil einer registrierten Organisationseinheit (OU) ist, gehe wie folgt vor:

Verschiebe das Konto in der AWS Organizations-Konsole unter die Stammebene der Organisation. Wenn sich das Konto unter einer registrierten OU befindet, kündige das bereitgestellte Produkt. Anschließend kannst du die Rolle AWSControlTowerExecution erstellen, ohne durch eine Service-Kontrollrichtlinie blockiert zu werden.
Erstelle die IAM-Rolle.

Gehe wie folgt vor, um die IAM-Rolle zu erstellen:

Navigiere in der AWS-Managementkonsole zum IAM-Service.
Wähle Rollen aus.
Wähle Rolle erstellen und dann Benutzerdefinierte Vertrauensrichtlinie aus.

Füge die folgende Vertrauensrichtlinie ein.

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::Management Account ID:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}

Hinweis: Ersetze die Verwaltungskonto-ID durch deine AWS-Verwaltungskonto-ID.

Hänge die AdministratorAccess-Richtlinie an.
Überspringe den Abschnitt Tags (optional).
Füge im Abschnitt Überprüfen die folgenden Details hinzu:
Rollenname: AWSControlTowerExecution
Beschreibung: „Ermöglicht vollen Kontozugriff für die Registrierung“
Wähle Rolle erstellen aus.

Wenn das Mitgliedskonto die Rolle AWSControlTowerExecution hat, die Vertrauensbeziehung jedoch falsch ist und das Produkt den Status „Fehlgeschlagen“ aufweist, gehe wie folgt vor:

Verschiebe das Konto in der AWS Organizations-Konsole unter die Stammebene der Organisation oder lösche das bereitgestellte Produkt.
Bearbeite die Vertrauensbeziehung der Rolle AWSControlTowerExecution. Dazu musst du die AWS-Verwaltungskonto-ID verwenden.

Hinweis: Wenn du eine Rolle für mehrere Konten erstellen musst, registriere die Organisationseinheit erneut. Durch diese Aktion wird automatisch die Rolle AWSControlTowerExecution in allen Konten innerhalb dieser Organisationseinheit erstellt.

Relevanter Inhalt

Wie lasse ich Anfragen von einem Bot zu, der von einer AWS WAF Bot Control-Regelgruppe blockiert wird?
AWS OFFICIALAktualisiert vor 4 Monaten
Wie behebe ich den Fehler „Auf der angeforderten Ressource ist kein Header 'Access-Control-Allow-Origin' vorhanden“ von CloudFront?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie behebe ich Probleme mit der Audioqualität, wenn Kundendienstmitarbeiter Amazon Connect verwenden?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich CCP-Benutzeroberflächenfehler in Amazon Connect?
AWS OFFICIALAktualisiert vor 3 Monaten

Wie behebe ich einen AWSControlTowerExecution-Rollenfehler, der bei der Registrierung eines AWS Control Tower-Kontos auftritt?

Behebung

Ähnliche Informationen

Relevanter Inhalt