Guia de solução de problemas do Account Factory for Terraform (AFT) - AWS Control Tower
Problemas geraisProblemas relacionados ao provisionamento/registro da contaProblemas relacionados à invocação de personalizaçõesProblemas relacionados ao fluxo de trabalho de personalização da conta

Guia de solução de problemas do Account Factory for Terraform (AFT)

Esta seção pode ajudar a solucionar problemas comuns que você pode encontrar ao usar o Account Factory for Terraform (AFT).

Problemas gerais

  • Cotas de recursos da AWS excedidas

    Se os seus grupos de logs indicarem que você excedeu as cotas de recursos da AWS, entre em contato com o AWS Support. O Account Factory usa Serviços da AWS com cotas de recursos que incluem AWS CodeBuild, AWS Organizations e AWS Systems Manager. Para obter mais informações, consulte:

  • Versão desatualizada do Account Factory

    Se encontrar um problema e achar que é um erro, verifique se você tem versão mais recente do Account Factory. Consulte mais informações em Updating the Account Factory version.

  • Foram feitas alterações locais no código-fonte do Account Factory

    O Account Factory é um projeto de código aberto. O AWS Control Tower é compatível com o código principal do Account Factory. Se você fizer uma alteração local no código principal do Account Factory, o AWS Control Tower só permitirá sua implantação do Account Factory com base no melhor esforço.

  • Permissões insuficientes do perfil do Account Factory

    O Account Factory cria políticas e perfis do IAM para gerenciar implantações e personalizações de contas fornecidas. Se você alterar esses perfis ou políticas, o pipeline do Account Factory poderá não conseguir realizar determinadas ações. Consulte mais informações em Required roles.

  • Repositórios de contas não preenchidos corretamente

    Certifique-se de seguir as etapas de pós-implantação antes de provisionar contas.

  • Não é detectado o desvio após alterar a UO manualmente

    nota

    O AWS Control Tower detecta o desvio automaticamente. Consulte informações sobre como resolver desvios em Detect and resolve drift in AWS Control Tower.

    O desvio não é detectado quando a unidade organizacional (UO) é alterada manualmente. Isso se deve à natureza orientada por eventos do Account Factory. Quando uma solicitação de conta é enviada, o recurso que o Terraform gerencia é um item do Amazon DynamoDB, não uma conta direta. Depois que um item é alterado, a solicitação é colocada em uma fila, onde o AWS Control Tower a processa por meio do Service Catalog (o serviço que gerencia os detalhes da conta). Se você altera a UO manualmente, o desvio não é detectado porque a solicitação da conta não foi alterada.

Problemas relacionados ao provisionamento/registro da conta

  • A solicitação de conta (endereço de e-mail/nome) já existe

    O problema geralmente resulta em uma falha do produto do Service Catalog durante o provisionamento ou como ConditionalCheckFailedException.

    Você pode encontrar mais informações sobre o problema seguindo um destes procedimentos:

    • Revise seus grupos de logs do Terraform ou do CloudWatch Logs.

    • Analise as falhas que são emitidas para o tópico aft-failure-notifications do Amazon SNS.

  • Solicitação de conta criada incorretamente

    Certifique-se de que sua solicitação de conta siga o esquema esperado. Consulte exemplos em terraform-aws-control_tower_account_factory no GitHub.

  • Cotas excedidas de recursos do AWS Organizations

    Certifique-se de que sua solicitação de conta não exceda as cotas de recursos do AWS Organizations. Consulte mais informações em Quotas for AWS Organizations.

Problemas relacionados à invocação de personalizações

  • Conta de destino não integrada ao Account Factory

    Certifique-se de que todas as contas incluídas em uma solicitação de personalização tenham sido integradas ao Account Factory. Consulte mais informações em Update an existing account.

  • Conta que os destinos da solicitação de personalização existem na tabela aft-request-metadata do DynamoDB, mas não no repositório de solicitações de conta

    Formate sua solicitação de invocação de personalização para excluir a conta incorreta seguindo um destes procedimentos:

    • Na tabela aft-request-metadata do DynamoDB, exclua a entrada que faz referência à conta que não está mais no seu repositório de solicitações de conta.

    • Não use “tudo” como destino.

    • Não use como destino a OU à qual a conta pertence.

    • Não use como destino a conta diretamente.

  • Usou o token incorreto para o Terraform Cloud

    Verifique se configurou o token correto. O Terraform Cloud é compatível apenas com tokens baseados em equipe, não com tokens baseados em organização.

  • Falha ao criar a conta antes da criação do pipeline de personalização da conta; não é possível personalizar a conta

    Faça uma alteração na especificação da conta no repositório de solicitações de conta. Quando você faz uma alteração, como no valor de uma tag de uma conta, o Account Factory segue o caminho que tenta criar o pipeline, mesmo que ele não exista.

Problemas relacionados ao fluxo de trabalho de personalização da conta

Se você estiver enfrentando problemas relacionados ao fluxo de trabalho de personalização da conta, certifique-se de que sua versão do AFT seja 1.8.0 ou posterior e exclua todas as instâncias de metadados relacionados à conta da tabela de solicitações do DynamoDB.

Consulte mais informações sobre o AFT versão 1.8.0 em Release 1.8.0 no GitHub.

Consulte mais informações sobre como verificar e atualizar sua versão do AFT em:

Você também pode rastrear e solucionar problemas de solicitações de personalização usando as consultas do Amazon CloudWatch Logs Insights para filtrar logs contendo sua conta de destino e IDs de solicitação de personalização. Consulte mais informações em Troubleshooting with AFT account customization request tracing.