Come posso risolvere un errore del ruolo AWSControlTowerExecution che si verifica durante la registrazione dell'account AWS Control Tower?

3 minuti di lettura

Desidero risolvere un errore del ruolo AWSControlTowerExecution che si verifica quando provo a registrare il mio account AWS Control Tower.

Risoluzione

Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Quando registri un account in AWS Control Tower, il ruolo AWSControlTowerExecution deve essere presente e configurato correttamente per l'account. In caso contrario, potresti ricevere il seguente messaggio di errore:

"AWS Control Tower is unable to assume the AWSControlTowerExecution role in the account. Add the role to your account if it's not present, and try again"

Accedi all'account che desideri registrare in AWS Control Tower. Quindi controlla se il ruolo AWSControlTowerExecution è presente nella console AWS Identity and Access Management (AWS IAM). Se è presente, controlla se il ruolo ha una relazione di attendibilità con l'account di gestione di AWS Organizations. Inoltre, controlla se al ruolo è associata una policy di accesso amministrativo.

Se il ruolo non è presente nell'account e l'account fa parte di un'unità organizzativa (UO) registrata, intraprendi le seguenti azioni:

Sposta l'account al livello principale dell'organizzazione nella console AWS Organizations. Se l'account è sotto un'unità organizzativa registrata, termina il prodotto con provisioning. A questo punto, puoi creare il ruolo AWSControlTowerExecution senza essere bloccato da una policy di controllo dei servizi.
Crea il ruolo IAM.

Per creare un ruolo IAM, completa i seguenti passaggi:

Accedi al servizio IAM nella Console di gestione AWS.
Scegli Ruoli.
Scegli Crea ruolo, quindi scegli Policy di attendibilità personalizzata.

Inserisci la seguente policy di attendibilità.

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::Management Account ID:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}

Nota: sostituisci ID dell'account di gestione con l'ID dell'account di gestione AWS.

Collega la policy AdministratorAccess.
Salta la sezione Tag (facoltativo).
Nella sezione Verifica, aggiungi i seguenti dettagli:
Nome del ruolo: AWSControlTowerExecution
Descrizione: "Consente l'accesso completo all'account per la registrazione"
Scegli Crea ruolo.

Se l'account membro ha il ruolo AWSControlTowerExecution, ma la relazione di attendibilità non è corretta e il prodotto è in uno stato di errore, intraprendi le seguenti azioni:

Sposta l'account al livello principale dell'organizzazione nella console AWS Organizations o elimina il prodotto con provisioning.
Modifica la relazione di attendibilità del ruolo AWSControlTowerExecution. A tal fine, assumi l'ID dell'account di gestione AWS.

Nota: se devi creare un ruolo per più account, registra nuovamente l'unità organizzativa. Questa azione crea automaticamente il ruolo AWSControlTowerExecution in tutti gli account all'interno dell'unità organizzativa.

Informazioni correlate

Aggiungi manualmente il ruolo IAM richiesto a un account AWS esistente e registralo

Argomenti: Management & Governance
Tag: AWS Control Tower
Lingua: Italiano

AWS UFFICIALEAggiornata un mese fa

Contenuto pertinente

Come risolvere gli errori del controllo granulare degli accessi nel mio cluster Amazon OpenSearch Service?
AWS UFFICIALEAggiornata 3 anni fa
Come posso risolvere gli errori del softphone in Amazon Connect CCP?
AWS UFFICIALEAggiornata 3 mesi fa
Come posso risolvere l'errore "AccessDenied" o "Informazioni non valide" quando ho provato ad assumere un ruolo IAM con più account?
AWS UFFICIALEAggiornata un anno fa
Come posso risolvere i messaggi di errore di rifiuto esplicito quando effettuo chiamate API utilizzando ruoli o utenti IAM?
AWS UFFICIALEAggiornata un anno fa