Pourquoi m'est-il impossible de créer ou de supprimer des règles de configuration d'organisation ?

Lecture de 3 minute(s)
0

Lorsque j'essaie de créer ou de supprimer une règle AWS Config pour AWS Organizations, je reçois une erreur CREATE_FAILED ou DELETE_FAILED. Comment puis-je résoudre les problèmes liés aux règles de configuration de l'organisation ?

Solution

Divers problèmes peuvent entraîner le non-fonctionnement des règles de configuration de l'organisation, notamment des autorisations, un compte de membre dans un état inactif ou des enregistreurs de configuration manquants.

Remarque : si vous recevez des erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande AWS (CLI AWS), assurez-vous d'utiliser la version la plus récente de cette dernière.

Pour résoudre les erreurs de règle de configuration d'organisation, exécutez d'abord la commande suivante pour obtenir les détails sur l'échec de la règle de compte membre et l'état de réussite. Ensuite, remplacez your-rule-name par le nom de votre règle de configuration d'organisation. La commande identifie les comptes membres spécifiques dans lesquels la règle a échoué.

aws configservice get-organization-config-rule-detailed-status --organization-config-rule-name your-rule-name

Examinez le code ErrorCode et ErrorMessage en sortie, puis suivez les étapes de dépannage suivantes :

  • Exécutez la commande AWS CLI suivante ou utilisez la console Organisations pour vérifier que l'état de tous les comptes membres est actif.
aws organizations list-accounts --query 'Accounts[*].[Id, Status]' --output table
  • Confirmez qu'AWS Config est configuré pour chaque compte membre. Vous pouvez configurer AWS Config manuellement pour un compte membre spécifique à l'aide de la console, de l'interface de ligne de commande AWSou d'AWS CloudFormation. Après qu'AWS Config est configuré pour tous les comptes membres, déployez à nouveau la règle.
  • Ouvrez la console AWS CloudTrail, puis sélectionnez Historique des événements dans le panneau de navigation. Pour filtrer les journaux, choisissez Event name (Nom de l'événement) dans la liste déroulante, puis entrez PutOrganizationConfigRule ou DeleteOrganizationConfigRule dans le champ de recherche. Vérifiez les résultats du journal filtré pour les erreurs OrganizationAccessDeniedException.
  • Vérifiez que vous appelez l'API PutOrganizationConfigRule ou l'API DeleteOrganizationConfigRule à partir du compte de gestion Organisations ou d'un compte de membre administrateur délégué. Exécutez la commande suivante à partir du compte de gestion pour identifier le compte de membre administrateur délégué.
aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
  • Si vous recevez des erreurs OrganizationAccessDeniedException, vérifiez que vous disposez des autorisations requises. Le rôle AWS Identity and Access Management (IAM) pour AWS Config doit inclure les autorisations PutConfigRule, PutOrganizationConfigRule et DeleteOrganizationConfigRule pour créer et supprimer une règle de configuration d'organisation.
  • Si vous recevez des erreurs ResourceInUseException, consultez le message d'erreur pour identifier la cause. Si le message d'erreur indique qu'une action de correction est associée à la règle, résolvez l'action de correction. Si le message d'erreur indique que l'état de la règle n'est pas CREATE_SUCCESSFUL, vérifiez que le rôle IAM du compte de membre AWS Config inclut les autorisations DeleteConfigRule.

Création de règles de configuration d'organisation personnalisée

Si la stratégie de ressources de la fonction Lambda n'autorise pas le principal du service AWS Config à l'appeler, fournissez des autorisations en exécutant la commande add-permission comme suit. Remplacez function-name par le nom de la fonction Lambda, Region par votre région AWS et source-account par l'ID de compte du compte de gestion.

aws lambda add-permission --function-name --region --action "lambda:InvokeFunction" --principal config.amazonaws.com --source-account --statement-id Allow

Remarque : pour accorder des autorisations à plusieurs comptes membres de votre organisation, la commande doit être exécutée pour chaque compte. Remplacez source-account par chaque ID de compte de membre.


Informations connexes

get-organization-config-rule-detailed-status

list-accounts

list-delegated-administrators

Pourquoi ma règle AWS Config ne fonctionne-t-elle pas ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans