我按照说明使用委派管理员部署 AWS Config 规则和一致性包。但我收到了与以下内容类似的错误消息:
- 调用 DeregisterDelegatedAdministrator 操作时发生错误 (AccessDeniedException):您没有访问此资源的权限。
- 调用 RegisterDelegatedAdministrator 操作时发生错误 (InvalidInputException):您指定了无法识别的服务委托人。
- 调用 RegisterDelegatedAdministrator 操作时发生错误 (ConstraintViolationException):您已超出了所委派服务的委派管理员的允许数量。
解决方法
请针对收到的特定错误消息执行以下问题排查步骤。
**重要提示:**开始之前,请确保您已安装并配置 AWS 命令行界面 (AWS CLI)。
“调用 DeregisterDelegatedAdministrator 操作时发生错误 (AccessDeniedException):您没有访问此资源的权限。”
此错误意味着您从 AWS Organizations 成员账户运行 register-delegated-administrator 命令,类似于以下内容:
$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID
您只能从 AWS Organizations 主账户委派管理员。从 AWS Organizations 主账户运行 register-delegated-administrator 命令。
“调用 RegisterDelegatedAdministrator 操作时发生错误 (InvalidInputException):您指定了无法识别的服务委托人。”
如果您的 AWS Organizations 组织未启用所有功能和受信任访问,则可能会发生此错误。
1. 运行与以下内容类似的 enable-aws-service-access 命令:
$aws organizations enable-aws-service-access --service-principal=config-multiaccountsetup.amazonaws.com
2. 从 AWS Organizations 主账户运行 register-delegated-administrator 命令,以委派成员账户部署 AWS Organization 一致性包和 AWS Config 规则:
$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID
“调用 RegisterDelegatedAdministrator 操作时发生错误 (ConstraintViolationException):您已超出了所委派服务的委派管理员的允许数量。”
此错误意味着已注册委派管理员的最大成员账户上限为 3。
1. 要确定注册了哪些委派管理员,请运行与以下内容类似的 list-delegated-administrators 命令:
$aws organizations list-delegated-administrators --service-principal=config-multiaccountsetup.amazonaws.com
您会收到类似如下内容的输出:
{
"DelegatedAdministrators": [
{
"Id": "987654321098",
"Arn": "arn:aws:organizations::123456789012:account/o-anz8bj0hfs/987654321098",
"Email": "youremailalias@example.com",
"Name": "your-account-name",
"Status": "ACTIVE",
"JoinedMethod": "CREATED",
"JoinedTimestamp": 1557432887.92,
"DelegationEnabledDate": 1590681859.773
}
]
}
2. 要取消注册委派管理员,请运行 deregister-delegated-administrator 命令:
$aws organizations deregister-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID
3. 重新运行 register-delegated-administrator 命令,以管理员身份委派账户:
$aws organizations register-delegated-administrator --service-principal config-multiaccountsetup.amazonaws.com --account-id member-account-ID
相关信息
如何在无法登录成员账户时从 AWS Organizations 中的组织删除成员账户?
如何在 AWS Organizations 中的组织之间迁移账户?