本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Account Factory for Terraform（AFT）故障排除指南
<a name="account-troubleshooting-guide"></a>

 本节可以帮助您排查在使用 Account Factory for Terraform（AFT）时可能会遇到的常见问题。

**Topics**
+ [一般性问题](#w2aac44c33c45b7)
+ [与账户预置/注册相关的问题](#w2aac44c33c45b9)
+ [与调用自定义相关的问题](#w2aac44c33c45c11)
+ [与账户自定义工作流相关的问题](#w2aac44c33c45c13)

## 一般性问题
<a name="w2aac44c33c45b7"></a>
+  **已超过 AWS 资源配额** 

   如果您的日志组显示您已超出 AWS 资源配额，请联系 Supp [AWS ort](https://aws.amazon.com/premiumsupport/)。Account Factory 使用的资源 AWS 服务 配额包括 AWS CodeBuild AWS Organizations、和 AWS Systems Manager。有关更多信息，请参阅下列内容：
  +  《CodeBuild 用户指南》** 中的[什么是 AWS CodeBuild？](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html) 
  +  [什么是 AWS Organizations？](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 在 Organi *zations 用户指南*中。
  +  [什么是 AWS Systems Manager？](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) 在 S *ystems Manager 用户指南*中。
+  **Account Factory 版本过时** 

   如果您遇到问题并认为这是一个错误，请确保您使用的是最新版本的 Account Factory。有关更多信息，请参阅 [Updating the Account Factory version](https://docs.aws.amazon.com/controltower/latest/userguide/update-aft-version.html)。
+  **对 Account Factory 源代码进行了本地更改** 

   Account Factory 是一个开源项目。AWS Control Tower 支持 Account Factory 核心代码。如果您在本地对 Account Factory 核心代码进行更改，AWS Control Tower 只能尽力为您的 Account Factory 部署提供支持。
+ **Account Factory 角色权限不足** 

   Account Factory 会创建 IAM 角色和策略来管理所提供账户的部署和自定义。如果您更改这些角色或策略，Account Factory 管道可能无法执行某些操作。有关更多信息，请参阅 [Required roles](https://docs.aws.amazon.com/controltower/latest/userguide/aft-required-roles.html)。
+  **账户存储库未正确填充** 

   在预置账户之前，请务必按照[部署后步骤](https://docs.aws.amazon.com/controltower/latest/userguide/aft-post-deployment.html)进行操作。
+  **手动更改 OU 后未检测到偏移** 
**注意**  
 AWS Control Tower 会自动检测偏移。有关解决偏移的信息，请参阅 [Detect and resolve drift in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift)。

   手动更改组织单元（OU）时，不会检测到偏移。这是由于 Account Factory 的事件驱动性质所致。提交账户请求时，Terraform 管理的资源是 Amazon DynamoDB 项目，而不是直接账户。更改项目后，请求将排入队列，AWS Control Tower 则会通过 Service Catalog（管理账户详细信息的服务）来处理这些请求。如果您手动更改 OU，则不会检测到偏移，因为账户请求未更改。

## 与账户预置/注册相关的问题
<a name="w2aac44c33c45b9"></a>
+  **账户请求（电子邮件地址/名称）已存在** 

   该问题通常会导致 Service Catalog 产品在预置过程中出现故障，或者出现 `ConditionalCheckFailedException`。

   您可以通过执行下列操作之一，找到有关此问题的更多信息：
  +  查看你的 Terraform 或 Lo CloudWatch gs 日志组。
  +  查看发送到 Amazon SNS 主题 `aft-failure-notifications` 的故障。
+  **账户请求格式不正确** 

   确保您的账户请求符合预期架构。有关示例，请参阅上的 [terraform-aws-control\$1tower\$1account\$1factory](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-request/examples)。 GitHub
+  **超过 AWS Organizations** 

   确保您的账户请求不超过 AWS Organizations 资源配额。有关更多信息，请参阅 Organizati [ons 的 AWS 配额](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)。

## 与调用自定义相关的问题
<a name="w2aac44c33c45c11"></a>
+  **目标账户未加入 Account Factory** 

   确保自定义请求中包含的所有账户都已加入 Account Factory。有关更多信息，请参阅 [Update an existing account](https://docs.aws.amazon.com/controltower/latest/userguide/aft-update-account.html)。
+  **自定义请求的目标账户存在于 DynamoDB 表 `aft-request-metadata` 中，但不在账户请求存储库中** 

   通过执行下列操作之一，将您的自定义调用请求格式化以排除违规账户：
  +  在 DynamoDB 表 `aft-request-metadata` 中，删除引用已不在账户请求存储库中的账户的条目。
  +  不要使用“全部”作为目标。
  +  不要以账户所属的 OU 为目标。
  +  不要直接以账户为目标。
+  **针对 Terraform Cloud 使用了错误的令牌** 

   确保您设置了正确的令牌。Terraform Cloud 仅支持基于团队的令牌，而不支持基于组织的令牌。
+  **在账户自定义管道创建之前，账户创建失败；因此无法对账户进行自定义。**

   在账户请求存储库中更改账户规范。当您进行更改（例如更改账户的标签值）时，即使管道不存在，Account Factory 也会遵循尝试创建管道的路径。

## 与账户自定义工作流相关的问题
<a name="w2aac44c33c45c13"></a>

 如果您遇到与账户自定义工作流相关的问题，请确保您的 AFT 为 1.8.0 或更高版本，并从 DynamoDB 请求表中删除所有与账户相关的元数据实例。

 有关 AFT 1.8.0 版本的信息，请参阅上的 [1.8.0 版本](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases/tag/1.8.0)。 GitHub

 有关如何检查和更新 AFT 版本的信息，请参阅以下内容：
+  [检查 AFT 版本](https://docs.aws.amazon.com/controltower/latest/userguide/check-aft-version.html) 
+  [更新 AFT 版本](https://docs.aws.amazon.com/controltower/latest/userguide/update-aft-version.html) 

 您还可以使用 Amazon L CloudWatch ogs Insights 查询筛选包含目标账户和自定义请求的日志，从而跟踪自定义请求并对其进行故障排除 IDs。有关更多信息，请参阅 [Troubleshooting with AFT account customization request tracing](https://docs.aws.amazon.com/controltower/latest/userguide/aft-account-customization-options.html)。