Saltar al contenido
Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post
Acerca de re:Post

¿Cómo puedo solucionar un error de rol de AWSControlTowerExecution que se produce durante la inscripción de la cuenta de AWS Control Tower?

3 minutos de lectura
0

Quiero solucionar un error de rol de AWSControlTowerExecution que se produce cuando intento inscribir mi cuenta de AWS Control Tower.

Solución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Al inscribir una cuenta en AWS Control Tower, el rol AWSControlTowerExecution debe estar presente y correctamente configurado para la cuenta. Si no es así, es posible que recibas el siguiente mensaje de error:

«AWS Control Tower is unable to assume the AWSControlTowerExecution role in the account. Add the role to your account if it's not present, and try again»

Inicia sesión en la cuenta que deseas inscribir en AWS Control Tower. A continuación, comprueba si el rol AWSControlTowerExecution está presente en la consola de AWS Identity and Access Management (IAM). Si está presente, comprueba si el rol tiene una relación de confianza con la cuenta de administración de AWS Organizations. Comprueba también si el rol tiene una política de acceso administrativo adjunta.

Si el rol no está presente en la cuenta y la cuenta forma parte de una unidad organizativa (OU) registrada, realiza las siguientes acciones:

  • Mueve la cuenta al nivel raíz de tu organización en la consola de AWS Organizations. Si la cuenta está en una unidad organizativa registrada, termina el producto aprovisionado. A continuación, puedes crear el rol AWSControlTowerExecution sin que una política de control de servicios lo bloquee.
  • Crea el rol de IAM.

Para crear un rol de IAM, sigue estos pasos:

  1. Navega hasta el servicio de IAM en la consola de administración de AWS.
  2. Selecciona Roles.
  3. Elige Crear rol y, a continuación, elige Política de confianza personalizada.
  4. Inserta la siguiente política de confianza. 
    {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::Management Account ID:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
    Nota: Sustituye ID de cuenta de administración por tu ID de cuenta de administración de AWS.
  5. Adjunta la política AdministratorAccess.
  6. Omite la sección Etiquetas (opcional).
  7. En la sección Revisar, agrega los siguientes detalles:
    Nombre del rol: AWSControlTowerExecution
    Descripción:«Permite el acceso total a la cuenta para la inscripción»
  8. Selecciona Crear rol.

Si la cuenta de miembro tiene el rol AWSControlTowerExecution, pero la relación de confianza es incorrecta y el producto se encuentra en un estado fallido, lleva a cabo las siguientes acciones:

  • Mueve la cuenta al nivel raíz de tu organización en la consola de AWS Organizations o elimina el producto aprovisionado.
  • Edita la relación de confianza del rol AWS AWSControlTowerExecution. Para ello, asume el ID de la cuenta de administración de AWS.

Nota: Si necesitas crear un rol para varias cuentas, vuelve a registrar la unidad organizativa. Esta acción crea automáticamente el rol AWSControlTowerExecution en todas las cuentas de esa unidad organizativa.

Información relacionada

Agregar manualmente el rol de IAM requerido a una cuenta de AWS existente e inscribirlo

Temas
Management & Governance
Etiquetas
AWS Control Tower
Idioma
Español
OFICIAL DE AWSActualizada hace un mes
Sin comentarios

Contenido relevante