来自 AWS Control Tower 的新账户创建错误

Question

我在将帐户注册到控制塔时遇到错误，尽管我的同事能够使用相同的权限注册新帐户。

错误详细信息：- 发生未知错误。 稍后重试，或联系 AWS Support。 找不到资源的启动路径：prod-xxxxxxxxxxxx

AWS Control Tower 无法创建您的账户，因为您的着陆区可能存在偏差。 检查您的着陆区并尝试使用高级帐户配置方法来创建您的帐户。

注意：我们的着陆区没有漂移

我尝试了所有可能的解决方案，但仍然存在相同的错误。 有没有人面临同样的问题？

Answer 1

此错误消息由 AWS Service Catalog 生成，它是帮助在 AWS Control Tower 中预置账户的集成服务。

常见原因：

• 您可能以 root 身份登录。 AWS Control Tower 不支持在您以 root 身份登录时创建账户。
• 您的 SSO 用户尚未添加到相应的权限组。
• 如果您作为 IAM 用户进行身份验证，则必须将其添加到 AWS Service Catalog 产品组合中，以便它具有正确的权限。

Answer 2

当我想在 Control Tower 上的帐户帐户工厂注册帐户时出现此错误

AWS Control Tower can't create your account due to potential drift in your landing zone. Check your landing zone and try using the advanced account provisioning method to create your account.

然后我找到这个文档并从着陆区设置修复着陆区对我有用：

https://docs.aws.amazon.com/controltower/latest/userguide/drift.html

Resolving drift
Although detection is automatic, the steps to resolve drift must be done through the console.

Many types of drift can be resolved through the Landing zone settings page. You can choose the Repair button in the Versions section to repair these types of drift.

If your OU has fewer than 300 accounts, you can repair drift by selecting Re-register OU on the OU page, to repair drift in Account Factory provisioned accounts, or SCP drift.

Answer 3

这是我按顺序遵循的。

• 作为 root 用户，我从 AWS Control Tower 中的登陆区设置修复了登陆区：没有工作
• 以 root 用户身份注销并以具有管理员权限的 IAM 用户身份登录：无效
• 以具有管理员访问权限的 IAM 用户身份登录。
  • 在 AWS Service Catalog go 中到 Portfolios（左侧导航窗格）。
  • 单击与 Control Tower 关联的产品组合。 投资组合名称可能类似于“AWS Control Tower Account Factory Portfolio”。
  • Go 到组、角色和用户选项卡。
  • 点击添加组、角色、用户
  • Go 到用户选项卡并添加您用于通过控制塔创建新帐户的 IAM 用户：工作