AWS Control Tower 계정 등록 중에 발생하는 AWSControlTowerExecution 역할 오류를 해결하려면 어떻게 해야 합니까?

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

AWS Control Tower에 계정을 등록할 때는 AWSControlTowerExecution 역할이 존재하고 계정에 맞게 구성되어 있어야 합니다. 그렇지 않으면 다음과 같은 오류 메시지가 표시될 수 있습니다.

"AWS Control Tower is unable to assume the AWSControlTowerExecution role in the account. Add the role to your account if it's not present, and try again"

AWS Control Tower에 등록하려는 계정에 로그인합니다. 그런 다음 AWS Identity and Access Management(AWS IAM) 콘솔에 AWSControlTowerExecution 역할이 있는지 확인합니다. 역할이 있다면 AWS Organizations 관리 계정과 신뢰 관계가 있는지 확인합니다. 또한 역할에 연결된 관리자 액세스 정책이 있는지 확인합니다.

계정에 역할이 없고 계정이 등록된 조직 단위(OU)에 속해 있는 경우 다음 작업을 수행하십시오.

• AWS Organizations 콘솔에서 계정을 조직의 루트 수준 아래로 이동합니다. 계정이 등록된 OU 아래에 있는 경우 프로비저닝된 제품을 종료합니다. 그러면 서비스 제어 정책에 의해 차단되지 않고 AWSControlTowerExecution 역할을 만들 수 있습니다.
• IAM 역할을 만듭니다.

IAM 역할을 만들려면 다음 단계를 완료하십시오.

1. AWS Management Console에서 IAM 서비스로 이동합니다.
2. 역할을 선택합니다.
3. 역할 만들기를 선택한 다음 사용자 지정 신뢰 정책을 선택합니다.
4. 다음 신뢰 정책을 삽입합니다.

   {
   "Version": "2012-10-17",
   "Statement": [
   {
   "Effect": "Allow",
   "Principal": {
   "AWS": "arn:aws:iam::Management Account ID:root"
   },
   "Action": "sts:AssumeRole",
   "Condition": {}
   }
   ]
   }

   참고: Management Account ID를 AWS 관리 계정 ID로 바꾸십시오.
5. AdministratorAccess 정책을 연결합니다.
6. 태그 섹션을 건너뜁니다(선택 사항).
7. 검토 섹션에서 다음 세부 정보를 추가합니다.
   역할 이름: AWSControlTowerExecution
   설명: ‘등록을 위한 전체 계정 액세스 허용’
8. 역할 생성을 선택합니다.

멤버 계정에 AWSControlTowerExecution 역할이 있지만 신뢰 관계가 올바르지 않고 제품이 실패 상태인 경우 다음 작업을 수행하십시오.

• AWS Organizations 콘솔에서 계정을 조직의 루트 수준 아래로 이동하거나 프로비저닝된 제품을 삭제합니다.
• AWSControlTowerExecution 역할의 신뢰 관계를 편집합니다. 이렇게 하려면 AWS 관리 계정 ID를 가정합니다.

참고: 여러 계정의 역할을 만들어야 하는 경우 OU를 다시 등록하십시오. 이 작업을 수행하면 해당 OU 내의 모든 계정에 AWSControlTowerExecution 역할이 자동으로 생성됩니다.

관련 정보

필요한 IAM 역할을 기존 AWS 계정에 수동으로 추가하고 등록