來自 AWS Control Tower 的新賬戶創建錯誤

Question

我在將帳戶注冊到控制塔時遇到錯誤，盡管我的同事能夠使用相同的權限注冊新帳戶。

錯誤詳細信息：- 發生未知錯誤。 稍后重試，或聯系 AWS Support。 找不到資源的啟動路徑：prod-xxxxxxxxxxxx

AWS Control Tower 無法創建您的賬戶，因為您的着陸區可能存在偏差。 檢查您的着陸區並嘗試使用高級帳戶配置方法來創建您的帳戶。

注意：我們的着陸區沒有漂移

我嘗試了所有可能的解決方案，但仍然存在相同的錯誤。 有沒有人面臨同樣的問題？

Answer 1

此錯誤消息由 AWS Service Catalog 生成，它是幫助在 AWS Control Tower 中預置賬戶的集成服務。

常見原因：

• 您可能以 root 身份登錄。 AWS Control Tower 不支持在您以 root 身份登錄時創建賬戶。
• 您的 SSO 用戶尚未添加到相應的權限組。
• 如果您作為 IAM 用戶進行身份驗證，則必須將其添加到 AWS Service Catalog 產品組合中，以便它具有正確的權限。

Answer 2

當我想在 Control Tower 上的帳戶帳戶工廠注冊帳戶時出現此錯誤

AWS Control Tower can't create your account due to potential drift in your landing zone. Check your landing zone and try using the advanced account provisioning method to create your account.

然后我找到這個文檔並從着陸區設置修復着陸區對我有用：

https://docs.aws.amazon.com/controltower/latest/userguide/drift.html

Resolving drift
Although detection is automatic, the steps to resolve drift must be done through the console.

Many types of drift can be resolved through the Landing zone settings page. You can choose the Repair button in the Versions section to repair these types of drift.

If your OU has fewer than 300 accounts, you can repair drift by selecting Re-register OU on the OU page, to repair drift in Account Factory provisioned accounts, or SCP drift.

Answer 3

這是我按順序遵循的。

• 作為 root 用戶，我從 AWS Control Tower 中的登陸區設置修復了登陸區：沒有工作
• 以 root 用戶身份注銷並以具有管理員權限的 IAM 用戶身份登錄：無效
• 以具有管理員訪問權限的 IAM 用戶身份登錄。
  • 在 AWS Service Catalog go 中到 Portfolios（左側導航窗格）。
  • 單擊與 Control Tower 關聯的產品組合。 投資組合名稱可能類似於“AWS Control Tower Account Factory Portfolio”。
  • Go 到組、角色和用戶選項卡。
  • 點擊添加組、角色、用戶
  • Go 到用戶選項卡並添加您用於通過控制塔創建新帳戶的 IAM 用戶：工作