Como soluciono um erro do perfil AWSControlTowerExecution que ocorre durante o cadastro da conta do AWS Control Tower?

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Quando você cadastra uma conta no AWS Control Tower, o perfil AWSControlTowerExecution deve estar presente e configurado adequadamente na conta. Caso contrário, você poderá receber a seguinte mensagem de erro:

"AWS Control Tower is unable to assume the AWSControlTowerExecution role in the account. Add the role to your account if it's not present, and try again"

Faça login na conta que você deseja cadastrar no AWS Control Tower. Em seguida, verifique se o perfil AWSControlTowerExecution está presente no console do AWS Identity and Access Management (AWS IAM). Se sim, verifique se o perfil tem uma relação de confiança com a conta gerencial do AWS Organizations. Além disso, verifique se o perfil tem uma política de acesso administrativo vinculada.

Se o perfil não estiver presente na conta e a conta fizer parte de uma unidade organizacional (UO) registrada, execute as seguintes ações:

• Mova a conta para o nível raiz da sua organização no console do AWS Organizations. Se a conta estiver em uma UO registrada, encerre o produto provisionado. Em seguida, é possível criar o perfil AWSControlTowerExecution sem ser bloqueado por uma política de controle de serviços.
• Crie o perfil do IAM.

Para criar o perfil do IAM, realize as seguintes etapas:

1. Navegue até o serviço do IAM no Console de Gerenciamento da AWS.
2. Selecione Perfis.
3. Escolha Criar perfil e, em seguida, Personalizar política de confiança.
4. Insira a seguinte política de confiança.

   {
   "Version": "2012-10-17",
   "Statement": [
   {
   "Effect": "Allow",
   "Principal": {
   "AWS": "arn:aws:iam::Management Account ID:root"
   },
   "Action": "sts:AssumeRole",
   "Condition": {}
   }
   ]
   }

   Observação: substitua o ID da conta gerencial pelo ID da sua conta gerencial da AWS.
5. Anexe a política AdministratorAccess.
6. Ignore a seção Tags (opcional).
7. Na seção Revisar, adicione os seguintes detalhes:
   Nome do perfil: AWSControlTowerExecution
   Descrição: “Permite acesso total à conta para cadastro”
8. Selecione Criar perfil.

Se a conta de membro tiver o perfil AWSControlTowerExecution, mas a relação de confiança estiver incorreta e o produto estiver em estado de falha, execute as seguintes ações:

• Mova a conta para o nível raiz da sua organização no console do AWS Organizations ou exclua o produto provisionado.
• Edite a relação de confiança do perfil AWSControlTowerExecution. Para isso, considere o ID da conta gerencial da AWS.

Observação: se você precisar criar um perfil para várias contas, registre novamente a UO. Essa ação cria automaticamente o perfil AWSControlTowerExecution em todas as contas dentro dessa UO.

Informações relacionadas

Adicione manualmente o perfil do IAM necessário a uma conta da AWS e cadastre-a