如何對 AWS Control Tower 帳戶註冊期間發生的 AWSControlTowerExecution 角色錯誤進行疑難排解？

解決方法

**注意：**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息，請參閱對 AWS CLI 錯誤進行疑難排解。此外，請確定您使用的是最新的 AWS CLI 版本。

當您在 AWS Control Tower 中註冊帳戶時，該帳戶必須具備且正確設定 AWSControlTowerExecution 角色。如果沒有，您可能會收到以下錯誤訊息：

「AWS Control Tower is unable to assume the AWSControlTowerExecution role in the account.Add the role to your account if it's not present, and try again」

登入您想在 AWS Control Tower 中註冊的帳戶。然後，請在 AWS Identity and Access Management (IAM) 主控台中檢查 AWS ControlTowerExecution 角色是否存在。如果存在，則檢查該角色是否與 AWS Organizations 管理帳戶建立了信任關係。另外，檢查該角色是否有附加的管理存取政策。

如果帳戶中不存在該角色，且該帳戶屬於已註冊的組織單位 (OU)，則執行下列動作：

• 在 AWS Organizations 主控台中，將該帳戶移至組織的根層級。如果該帳戶位於已註冊的 OU 下，請終止已佈建的產品。接著，您就可以建立 AWSControlTowerExecution 角色，而不會受到服務控制政策的阻擋。
• 建立 IAM 角色。

若要建立 IAM 角色，請完成以下步驟：

1. 瀏覽至 AWS 管理主控台中的 IAM 服務。
2. 選擇 Roles (角色)。
3. 選擇 Create role (建立角色)，然後選擇 Custom trust policy (自訂信任政策)。
4. 插入以下信任政策。

   {
   "Version": "2012-10-17",
   "Statement": [
   {
   "Effect": "Allow",
   "Principal": {
   "AWS": "arn:aws:iam::Management Account ID:root"
   },
   "Action": "sts:AssumeRole",
   "Condition": {}
   }
   ]
   }

   **注意：**將 Management Account ID (管理帳戶 ID) 替換為您的 AWS 管理帳戶 ID。
5. 附加 AdministratorAccess 政策。
6. 跳過 Tags (標籤) 區段 (選擇性)。
7. 在 Review (審查) 區段，加入以下詳細資料：
   角色名稱： AWSControlTowerExecution
   描述：「允許在註冊時取得完整帳戶存取權」
8. 選擇 Create role (建立角色)。

如果會員帳戶已有 AWSControlTowerExecution 角色，但信任關係設定錯誤，且產品處於失敗狀態，則執行下列動作：

• 在 AWS Organizations 主控台中，將該帳戶移至組織的根層級，或刪除已佈建的產品。
• 編輯 AWSControlTowerExecution 角色的信任關係。若要這樣做，請假設 AWS 管理帳戶 ID。

**注意：**如果需要為多個帳戶建立角色，請重新註冊 OU。此動作會自動在該 OU 內的所有帳戶中建立 AWSControlTowerExecution 角色。

相關資訊

手動將所需的 IAM 角色新增至現有 AWS 帳戶並進行註冊