本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 故障排除 AWS Organizations
<a name="orgs_troubleshoot"></a>

如果您在使用时遇到问题 AWS Organizations，请查阅本节的主题。

## 排查一般问题
<a name="orgs_troubleshoot_general"></a>

使用此处的信息可以帮助您诊断和修复在使用时可能遇到的访问被拒绝或其他常见问题。 AWS Organizations

**Topics**
+ [当我向发送请求时，我收到 “访问被拒绝” 消息 AWS Organizations](#troubleshoot_general_access-denied-service)
+ [当我使用临时安全凭证发送请求时，收到了“access denied”(拒绝访问) 消息](#troubleshoot_general_access-denied-temp-creds)
+ [当我尝试以成员账户身份离开组织或以管理账户身份删除成员账户时，收到“access denied”（拒绝访问）消息](#troubleshoot_general_error-leaving-org)
+ [尝试向组织中添加账户时，我收到“quota exceeded (超出限额)”消息](#troubleshoot_general_error-adding-account)
+ [我在添加或删除账户时收到了一条“此操作需要一段等待期”消息](#troubleshoot_general_error-wait-req)
+ [尝试向组织中添加账户时，我收到“organization is still initializing”消息](#troubleshoot_general_error-still-init)
+ [当我尝试将账户邀请到我的组织时，收到“Invitations are disabled (邀请被禁用)”消息。](#troubleshoot_general_error-changing-feature-set)
+ [我所做的更改不总是立即可见](#troubleshoot_general_eventual-consistency)
+ [当我尝试访问已经属于某个组织的账户时，我收到“完成注册”的消息](#troubleshoot_general_complete-signup)

### 当我向发送请求时，我收到 “访问被拒绝” 消息 AWS Organizations
<a name="troubleshoot_general_access-denied-service"></a>
+ 验证您是否具有调用您请求的操作和资源的许可。管理员必须通过将 IAM policy 附加到您的用户、组或角色来授予权限。如果授予这些权限的政策声明包含任何条件，例如 time-of-day或 IP 地址限制，则您在发送请求时也必须满足这些要求。有关查看或修改适用于用户、组或角色的策略的信息，请参阅《IAM 用户指南》**中的[使用策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。
+ 如果您要手动签署 API 请求（不使用 [AWS SDKs](https://aws.amazon.com/tools/)），请确认您已正确[签署请求](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html)。

### 当我使用临时安全凭证发送请求时，收到了“access denied”(拒绝访问) 消息
<a name="troubleshoot_general_access-denied-temp-creds"></a>
+ 请确认您用于发出请求的 用户或角色具有正确的权限。临时安全凭证权限派生自 用户或角色，因此权限范围仅限于相应 用户或角色的权限。有关临时安全凭证权限的确定方式的更多信息，请参阅《IAM 用户指南》**中的[控制临时安全凭证的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access.html)。
+ 验证您的请求是否采用了正确的签名和适当的格式。有关详细信息，请参阅 *IAM 用户指南*中您所选软件开发[工具包的工具包](https://aws.amazon.com/tools/)文档或[使用临时安全证书请求 AWS 资源访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)。
+ 验证您的临时安全凭证没有过期。有关更多信息，请参阅《IAM 用户指南》**中的[请求临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)。

### 当我尝试以成员账户身份离开组织或以管理账户身份删除成员账户时，收到“access denied”（拒绝访问）消息
<a name="troubleshoot_general_error-leaving-org"></a>
+ 要删除成员账户，必须先在此成员账户中启用 IAM 用户访问账单的权限。有关更多信息，请参阅《AWS Billing 用户指南》**中的[激活对账单和成本管理控制台的访问权](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)。
+ 仅当账户拥有作为独立账户运行所需的信息时，才能从组织中删除此账户。当你使用 AWS Organizations 控制台、API 或 AWS CLI 命令在组织中创建账户时，这些信息不会自动收集。对于要独立开设的账户，您必须接受 AWS 客户协议，选择支持计划，提供并验证所需的联系信息，并提供当前的付款方式。 AWS 使用付款方式对账户未关联到组织期间发生的任何可计费（非 AWS 免费套餐） AWS 活动收费。有关更多信息，请参阅 [从成员账户中退出组织 AWS Organizations](orgs_manage_accounts_leave-as-member.md)。

### 尝试向组织中添加账户时，我收到“quota exceeded (超出限额)”消息
<a name="troubleshoot_general_error-adding-account"></a>

组织存在最大账户数限制。已删除或已关闭的账户会继续计入此配额。

加入邀请也计入组织的最大账户数中。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期，则撤销此计数。
+ 在关闭或删除之前 AWS 账户，请[将其从您的组织](orgs_manage_accounts_remove.md)中删除，这样它就不会继续计入您的配额。
+ 有关如何请求增加配额的更多信息，请参阅[最大值和最小值](orgs_reference_limits.md#min-max-values)。

### 我在添加或删除账户时收到了一条“此操作需要一段等待期”消息
<a name="troubleshoot_general_error-wait-req"></a>

由于账户配额限制，某些操作需要等待一段时间。例如，您无法立即删除新创建的账户。过几天再尝试此操作。

有关添加账户的问题，请参阅[默认的最大账户数量](orgs_reference_limits.md#default-maximum-number-of-accounts)配额。有关移除账户的问题，请参阅[您可以在 30 天内关闭的账户数量](orgs_reference_limits.md#number-of-accounts-you-can-close)配额。

### 尝试向组织中添加账户时，我收到“organization is still initializing”消息
<a name="troubleshoot_general_error-still-init"></a>

如果您收到此类错误，而且距您创建组织已过了一个多小时，请联系 [AWS 支持](https://console.aws.amazon.com/support/home#/)。

### 当我尝试将账户邀请到我的组织时，收到“Invitations are disabled (邀请被禁用)”消息。
<a name="troubleshoot_general_error-changing-feature-set"></a>

当您[启用组织中的所有功能](orgs_manage_org_support-all-features.md)时，会发生这种情况。此操作可能需要一些时间才能完成，并且需要所有成员账户进行响应。在操作完成之前，您无法邀请新账户加入组织。

### 我所做的更改不总是立即可见
<a name="troubleshoot_general_eventual-consistency"></a>

作为全球数据中心的计算机要访问的服务， AWS Organizations 使用称为[最终一致性](https://wikipedia.org/wiki/Eventual_consistency)的分布式计算模型。您所做的任何更改都 AWS Organizations 需要一段时间才能从所有可能的端点中看到。有些延迟是由将数据从服务器发送到服务器或从复制区域发送到复制区域所花费的时间造成的。 AWS Organizations 还使用缓存来提高性能，但在某些情况下，这可能会增加时间。在之前缓存的数据超时之前，更改可能不可见。

在设计全球应用程序时，需要考虑这些可能的延迟，即使在一个位置所做的更改对另一个位置不是立即可见，也要确保按预期工作。

有关其他人如何 AWS 服务 受此影响的更多信息，请查阅以下资源：
+ 《Amazon Redshift 数据库开发人员指南》**中的[管理数据一致性](https://docs.aws.amazon.com/redshift/latest/dg/managing-data-consistency.html)
+ *Amazon Simple Storage Service 用户指南*中的 [Amazon S3 数据一致性模型](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Introduction.html#ConsistencyModel)
+ 在 AWS 大数据博客中@@ [使用 Amazon S3 和 Amazon Elast MapReduce ic 处理 ETL 工作流程时确保一致](https://aws.amazon.com/blogs/big-data/ensuring-consistency-when-using-amazon-s3-and-amazon-elastic-mapreduce-for-etl-workflows/)性
+ 《Amazon EC2 API 参考》**中的 [EC2 最终一致性](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/query-api-troubleshooting.html#eventual-consistency)。

### 当我尝试访问已经属于某个组织的账户时，我收到“完成注册”的消息
<a name="troubleshoot_general_complete-signup"></a>
+ 成员账户最多可能需要 48 小时才能继承管理账户的账单详细信息。
+ 如果 48 小时后问题仍然存在，您可以向账户和账单支持团队提交支持案例。有关更多信息，请参阅[创建支持案例](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case)。