¿Por qué no puedo crear o eliminar las reglas de configuración de la organización?

4 minutos de lectura

Cuando intento crear o eliminar una regla de AWS Config para AWS Organizations, aparece el error CREATE_FAILED o DELETE_FAILED. ¿Cómo puedo solucionar problemas con las reglas de configuración de la organización?

Resolución

Hay varios problemas que pueden provocar que las reglas de configuración de la organización no funcionen, como los permisos, una cuenta de miembro inactiva o la falta de grabadores de configuración.

Nota: Si recibe errores al ejecutar los comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de utilizar la versión más reciente de AWS CLI.

Para resolver los errores de las reglas de configuración de la organización, ejecute primero el siguiente comando para obtener detalles sobre el error y el estado de éxito de las reglas de la cuenta de miembro. A continuación, sustituya your-rule-name por el nombre de la regla de configuración de su organización. El comando identifica las cuentas de miembros específicas en las que falló la regla.

aws configservice get-organization-config-rule-detailed-status --organization-config-rule-name your-rule-name

Revise el código de error y el mensaje de error de salida y, a continuación, siga estos pasos de resolución de problemas:

Ejecute el siguiente comando de AWS CLI o utilice la consola de Organizations para comprobar que el estado de todas las cuentas de los miembros esté activo.

aws organizations list-accounts --query 'Accounts[*].[Id, Status]' --output table

Confirme que AWS Config esté configurado para cada cuenta de miembro. Puede configurar AWS Config manualmente para una cuenta de miembro específica mediante la consola, AWS CLI o AWS CloudFormation. Una vez que AWS Config esté configurado para todas las cuentas de los miembros, vuelva a implementar la regla.
Abra la consola de AWS CloudTrail y, a continuación, seleccione Historial de eventos en el panel de navegación. Para filtrar los registros, elija el Nombre del evento en la lista desplegable y, a continuación, escriba PutOrganizationConfigRule o DeleteOrganizationConfigRule en el campo de búsqueda. Revise los resultados del registro filtrado para ver si hay errores de OrganizationAccessDeniedException.
Compruebe que está llamando a la API PutOrganizationConfigRule o a la API DeleteOrganizationConfigRule desde la cuenta de administración de Organizations o desde una cuenta de miembro de administrador delegado. Ejecute el siguiente comando desde la cuenta de administración para identificar la cuenta de miembro administrador delegado.

aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com

Si recibe errores de OrganizationAccessDeniedException, compruebe que dispone de los permisos necesarios. El rol AWS Identity and Access Management (IAM) de AWS Config debe incluir los permisos PutConfigRule, PutOrganizationConfigRule y DeleteOrganizationConfigRule para crear y eliminar reglas de configuración de la organización.
Si recibe errores de ResourceInUseException, revise el mensaje de error para identificar la causa. Si el mensaje de error indica que hay una acción de corrección asociada a la regla, resuelva la acción de corrección. Si el mensaje de error indica que el estado de la regla no es CREATE_SUCCESSFUL, compruebe que el rol IAM de la cuenta de miembro de AWS Config incluya los permisos DeleteConfigRule.

Creación de reglas de configuración de organización personalizadas

Si la política de recursos de la función de Lambda no permite que el director del servicio AWS Config la invoque, proporcione los permisos ejecutando el comando add-permission de la siguiente manera. Sustituya function-name por el nombre de la función de Lambda, Region por su región de AWS y source-account por el ID de la cuenta de administración.

aws lambda add-permission --function-name --region --action "lambda:InvokeFunction" --principal config.amazonaws.com --source-account --statement-id Allow

Nota: Para conceder permisos a varias cuentas de miembros de su organización, el comando debe ejecutarse para cada cuenta. Sustituya source-account por el ID de cada cuenta de miembro.

Información relacionada

get-organization-config-rule-detailed-status

list-accounts

list-delegated-administrators

Why isn't my AWS Config rule working?

Temas

Gestión y gobierno

Etiquetas

AWS Config

Idioma

Español

OFICIAL DE AWSActualizada hace 2 años

Contenido relevante

¿Cómo puedo solucionar un problema relacionado una política sobre copias de seguridad que no cree trabajos en las cuentas de miembro de una organización?
OFICIAL DE AWSActualizada hace un año
¿Cómo configuro los grupos de reglas estándar de Network Firewall y las reglas del grupo de reglas de listas de dominios juntos?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo añadir medidas de corrección a las reglas de AWS Config de la organización?
OFICIAL DE AWSActualizada hace 3 años
¿Por qué las cuentas de mi organización aparecen como «suspendidas» en la consola de AWS Organizations?
OFICIAL DE AWSActualizada hace 3 años