J'ai suivi les instructions de déploiement de règles AWS Config et de packs de conformité en utilisant un administrateur délégué. Toutefois, un message d'erreur de ce type s’affiche :
- Une erreur s'est produite (AccessDeniedException) lors de l'appel de l'opération DeregisterDelegatedAdministrator : vous n'êtes pas autorisé à accéder à cette ressource.
- Une erreur s'est produite (InvalidInputException) lors de l'appel de l'opération RegisterDelegatedAdministrator : vous avez spécifié un mandataire de service non reconnu.
- Une erreur s'est produite (ConstraintViolationException) lors de l'appel de l'opération RegisterDelegatedAdministrator : vous avez dépassé le nombre autorisé d'administrateurs délégués pour le service délégué.
Solution
Suivez ces étapes de dépannage en fonction du message d'erreur reçu.
Important : avant de commencer, veillez à avoir installé et configuré l'interface de ligne de commande AWS (AWS CLI).
« Une erreur s'est produite (AccessDeniedException) lors de l'appel de l'opération DeregisterDelegatedAdministrator : vous n'êtes pas autorisé à accéder à cette ressource. »
Cette erreur signifie que vous avez exécuté la commande register-delegated-administrator à partir d'un compte membre d'AWS Organizations, comme dans l'exemple suivant :
$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID
Vous ne pouvez déléguer un administrateur qu'à partir du compte AWS Organizations principal. Exécutez la commande register-delegated-administrator à partir du compte AWS Organizations principal.
« Une erreur s'est produite (InvalidInputException) lors de l'appel de l'opération RegisterDelegatedAdministrator : vous avez spécifié un mandataire de service non reconnu. »
Cette erreur peut survenir lorsque toutes les fonctionnalités et les accès approuvés n'ont pas été activés pour votre organisation AWS Organizations.
1. Exécutez la commande enable-aws-service-access comme suit :
$aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
2. Exécutez la commande register-delegated-administrator à partir du compte AWS Organizations principal afin de déléguer le compte membre chargé du déploiement des packs de conformité AWS Organizations et des règles AWS Config :
$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID
« Une erreur s'est produite (ConstraintViolationException) lors de l'appel de l'opération RegisterDelegatedAdministrator : vous avez dépassé le nombre autorisé d'administrateurs délégués pour le service délégué. »
Cette erreur signifie que le compte membre a dépassé la limite maximale de trois administrateurs délégués enregistrés.
1. Pour déterminer quels administrateurs délégués sont enregistrés, exécutez la commande list-delegated-administrators, comme dans cet exemple :
$aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
Le résultat obtenu doit être similaire à ce qui suit :
{
"DelegatedAdministrators": [
{
"Id": "987654321098",
"Arn": "arn:aws:organizations::123456789012:account/o-anz8bj0hfs/987654321098",
"Email": "youremailalias@example.com",
"Name": "your-account-name",
"Status": "ACTIVE",
"JoinedMethod": "CREATED",
"JoinedTimestamp": 1557432887.92,
"DelegationEnabledDate": 1590681859.773
}
]
}
2. Pour annuler l'inscription d'un administrateur délégué, exécutez la commande deregister-delegated-administrator :
$aws organizations deregister-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID
3. Exécutez à nouveau la commande register-delegated-administrator pour déléguer un compte en tant qu'administrateur :
$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID
Informations connexes
Comment supprimer un compte membre d'une organisation dans AWS Organizations si je ne parviens pas à me connecter ?
Comment transférer des comptes entre des organisations issues d'AWS Organizations ?