AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Warum kann ich in AWS Config keine Konfigurationsregeln für AWS Organizations erstellen oder löschen?

Lesedauer: 3 Minute

Wenn ich versuche, eine AWS Config-Regel für AWS-Organisationen zu erstellen oder zu löschen, erhalte ich die Fehlermeldung CREATE_FAILED oder DELETE_FAILED.

Kurzbeschreibung

Verschiedene Probleme können dazu führen, dass Organisationskonfigurationsregeln nicht funktionieren, darunter die folgenden Beispiele:

Berechtigungen
Inaktive Mitgliedskonten
Fehlende Konfigurationsrekorder

Gehe wie folgt vor, um Fehler in der Organisationskonfiguration zu beheben:

Finde die Statusdetails der Mitgliedskontoregel.
Behebe die Ursache des Regelfehlers.

Lösung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Finde die Statusdetails der Mitgliedskontoregel

Führe den Befehl get-organization-config-rule-detailed-status aus, um die Fehler- und Erfolgsstatusdetails der Mitgliedskontoregel zu ermitteln:

aws configservice get-organization-config-rule-detailed-status --organization-config-rule-name your-rule-name

Hinweis: Ersetze dann your-rule-name durch den Namen deiner Organisationskonfigurationsregel.

Weitere Informationen dazu, warum die Regel fehlschlägt, findest du in den Ausgaben ErrorCode und ErrorMessage.

Behebe die Ursache des Regelfehlers

Stelle sicher, dass Mitgliedskonten aktiv sind

Um zu überprüfen, ob alle Mitgliedskonten aktiv sind, führe den Befehl list-accounts aus:

aws organizations list-accounts --query 'Accounts[*].[Id, Status]' --output table

Konfiguration von AWS Config für Mitgliedskonten

Verwende die Konsole, AWS CLI oder AWS CloudFormation, um AWS Config für jedes Mitgliedskonto zu konfigurieren. Nachdem du AWS Config für alle Mitgliedskonten konfiguriert hast, führe die put-organization-config-rule aus, um die Regel erneut bereitzustellen.

Überprüfung deiner Ereignisprotokolle

Öffne die AWS CloudTrail-Konsole und wähle dann im Navigationsbereich die Option Ereignisverlauf aus. Um die Protokolle zu filtern, wähle in der Dropdownliste den Eintrag Ereignisname aus und gib dann PutOrganizationConfigRule oder DeleteOrganizationConfigRule in das Suchfeld ein. Überprüfe die gefilterten Protokollergebnisse auf OrganizationAccessDeniedException-Fehler.

Aktualisiere das Mitgliedskonto des delegierten Administrators

Du musst Aufrufe vom Verwaltungskonto von AWS Organizations oder von einem Mitgliedskonto für delegierte Administratoren aus tätigen. Wenn du Aufrufe wie die PutOrganizationConfigRule API oder die DeleteOrganizationConfigRule API von außerhalb dieser Konten tätigst, schlagen die Aufrufe fehl.

Um das Mitgliedskonto des delegierten Administrators zu identifizieren, führe den Befehl list-delegated administrators aus:

aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

Aktualisieren deiner Berechtigungen

Wenn du OrganizationAccessDeniedException-Fehler erhältst, stelle sicher, dass du über die erforderlichen Berechtigungen verfügst. Die Rolle AWS Identity and Access Management (IAM) für AWS Config muss die folgenden Berechtigungen zum Erstellen und Löschen von Organisationskonfigurationsregeln enthalten:

PutConfigRule
PutOrganizationConfigRule
DeleteOrganizationConfigRule

Weitere Informationen findest du unter Berechtigungen für die IAM-Rolle, die AWS Config zugewiesen ist.

Überprüfung der Fehlermeldung

Wenn du ResourceInUseException-Fehler erhältst, überprüfe die Fehlermeldung, um die Ursache zu ermitteln.

Wenn die Fehlermeldung darauf hinweist, dass der Regel eine Korrekturmaßnahme zugeordnet ist, führe die Korrekturmaßnahme aus.
Wenn die Fehlermeldung darauf hinweist, dass der Regelstatus nicht CREATE_SUCCESSFUL lautet, überprüfe, ob die IAM-Rolle des AWS Config-Mitgliedskontos DeleteConfigRule-Berechtigungen enthält.

Erstellen benutzerdefinierter Regeln für die Organisationskonfiguration

Wenn die Ressourcenrichtlinie für die AWS Lambda-Funktion es dem AWS Config-Serviceprinzipal nicht erlaubt, die Richtlinie aufzurufen, führe den Befehl add-permission aus, um Berechtigungen bereitzustellen:

aws lambda add-permission --function-name function-name --region region --action "lambda:InvokeFunction" --principal config.amazonaws.com --source-account source-account --statement-id Allow

Hinweis: Ersetze function-name durch den Namen der Lambda-Funktion, Region durch deine AWS-Region und source-account durch die Verwaltungskonto-ID.

Um Berechtigungen für mehrere Mitgliedskonten in deiner Organisation zu gewähren, muss der Befehl für jedes Mitgliedskonto ausgeführt werden. Ersetze source-account durch die ID jedes Mitgliedskontos.

Relevanter Inhalt

Warum funktioniert meine AWS-Config-Regel nicht?
AWS OFFICIALAktualisiert vor 5 Jahren
Warum erhalte ich einen MaxNumberOfConfigurationRecordersExceededException-Fehler, wenn ich einen AWS Config-Konfigurations-Recorder erstelle?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich den Fehler „Rolle [role_arn] ist ungültig oder kann nicht angenommen werden“, wenn ich einen AWS CloudFormation-Stack aktualisiere oder lösche?
AWS OFFICIALAktualisiert vor 4 Jahren
Wie kann ich eine Standard-VPC in Amazon VPC erstellen, löschen oder wiederherstellen?
AWS OFFICIALAktualisiert vor einem Jahr