Comment résoudre une erreur de rôle AWSControlTowerExecution qui se produit lors de l'inscription d'un compte AWS Control Tower ?
Je souhaite résoudre une erreur de rôle AWSControlTowerExecution qui se produit lorsque j'essaie d'inscrire mon compte AWS Control Tower.
Résolution
Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.
Lorsque vous inscrivez un compte dans AWS Control Tower, le rôle AWSControlTowerExecution doit être présent et correctement configuré pour le compte. Si tel n'est pas le cas, le message d'erreur suivant peut s'afficher :
« AWS Control Tower is unable to assume the AWSControlTowerExecution role in the account. Add the role to your account if it's not present, and try again »
Connectez-vous au compte que vous souhaitez inscrire à AWS Control Tower. Puis, vérifiez si le rôle AWSControlTowerExecution est présent dans la console Gestion des identités et des accès AWS (AWS IAM). S'il est présent, vérifiez si le rôle entretient une relation d’approbation avec le compte de gestion AWS Organizations. Vérifiez également si le rôle est associé à une stratégie d'accès administrative.
Si le rôle n'est pas présent dans le compte et que celui-ci fait partie d'une unité organisationnelle (UO) enregistrée, procédez comme suit :
- Déplacez le compte sous le niveau racine de votre organisation dans la console AWS Organizations. Si le compte appartient à une unité organisationnelle enregistrée, résiliez le produit provisionné. Vous pouvez ensuite créer le rôle AWSControlTowerExecution sans être bloqué par une politique de contrôle des services.
- Créez le rôle IAM.
Pour créer le rôle IAM, procédez comme suit :
- Accédez au service IAM dans la console de gestion AWS.
- Sélectionnez Rôles.
- Choisissez Créer un rôle, puis Politique d’approbation personnalisée.
- Insérez la politique d’approbation suivante.
Remarque : Remplacez l'ID du compte de gestion par l'ID de votre compte de gestion AWS.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Management Account ID:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] } - Attachez la politique AdministratorAccess.
- Ignorez la section Identifications (facultatif).
- Dans la section Vérifier, ajoutez les informations suivantes :
Nom du rôle : AWSControlTowerExecution
Description : « Allows full account access for enrollment » - Sélectionnez Créer un rôle.
Si le compte membre assume le rôle AWSControlTowerExecution, mais que la relation d’approbation est incorrecte et que le produit est à l’état d'échec, effectuez les actions suivantes :
- Déplacez le compte sous le niveau racine de votre organisation dans la console AWS Organizations ou supprimez le produit provisionné.
- Modifiez la relation d’approbation du rôle AWSControlTowerExecution. Pour ce faire, assumez l'ID du compte de gestion AWS.
Remarque : Si vous devez créer un rôle pour plusieurs comptes, réenregistrez l'unité organisationnelle. Cette action crée automatiquement le rôle AWSControlTowerExecution dans tous les comptes de cette unité organisationnelle.
Informations connexes
Ajouter manuellement le rôle IAM requis à un compte AWS existant et l’inscrire
- Sujets
- Management & Governance
- Balises
- AWS Control Tower
- Langue
- Français
Contenus pertinents
- demandé il y a 3 ans
- demandé il y a un an
- demandé il y a 3 mois
- AWS OFFICIELA mis à jour il y a un an