错误代码:Microsoft Entra 权限管理
在载入期间,Microsoft Entra 权限管理可能会返回管理员可以会审的错误消息。 本文列出了权限管理 UI 中显示的数据收集错误消息及其说明,以及建议的解决方案。
AWS_ACCESSADVISOR_COLLECTION_ERROR
此帐户无权查看 Service Last Accessed
。
建议的解决方案
- 验证是否已使用管理帐户凭据登录。 AWS 帐户必须具有有权生成、获取或列出
ServiceLastAccessDetails
或等效权限的策略。 - 在 AWS 管理控制台中,验证是否在组织根中启用了服务控制策略 (SCP)。
AWS_CLOUDTRAIL_DISABLED
AWS 环境未配置 CloudTrail,或者你无权访问 CloudTrail。
建议的解决方案
创建 AWS 帐户时,将会自动创建 CloudTrail。
要访问:
- 验证是否已使用管理帐户凭据登录。
- 在 AWS 组织中启用 CloudTrail 作为受信任的服务。
- 确保 AWS 帐户具有 CloudTrail 托管策略
AWSCloudTrail_FullAccess
、AWSCloudTrail_ReadOnlyAccess
或已被授予等效权限。
AWS_CLOUDTRAIL_S3_ACCESS_DENIED
此帐户无权访问 S3 Bucket CloudTrail 日志。
建议的解决方案
要尝试的步骤:
- 验证是否已使用管理帐户凭据登录。
- 在 AWS 组织中启用 CloudTrail 作为受信任的服务。
- AWS 帐户必须具有 CloudTrail 托管策略
AWSCloudTrail_FullAccess
或已被授予等效权限。 - 对于跨帐户访问,每个帐户必须具有 IAM 角色,以及授予访问权限的访问策略。
- CloudTrail 必须具有将日志文件传送到 S3 存储桶所需的权限,并且将更新 S3 存储桶策略以接收和存储日志文件。
AWS_LDAP_CREDENTIALS_INVALID
LDAP 凭据无效。
建议的解决方案
验证域控制器上的硬盘驱动器是否未满。
AWS_LDAP_UNREACHABLE
尝试访问 LDAP 服务时连接失败。
建议的解决方案
此问题常见于用于启用 LDAPS 的 AWS 托管 Microsoft AD 连接器。 验证 AD 连接器是否可以通过 TCP 和 UDP 使用 88 (Kerberos) 和 389 (LDAP) 端口进行通信。
AWS_SYSTEM_ROLE_POLICIES_COLLECTION_ERROR
收集系统角色策略时出错。
建议的解决方案
如果系统角色策略包括服务控制策略 (SCP),请验证是否已使用管理帐户凭据登录。 AWS 帐户必须具有显示策略详细信息和附加实体所需的权限。
ERROR_GCP_PROJECT_MIN_PERMISSION
项目权限不足。
建议的解决方案
验证是否已向你授予正确的 IAM 角色或具有等效权限的角色,可授予对项目的访问权限:组织管理员、安全管理员或项目 IAM 管理员。
ERROR_NO_IDENTIFIER_URIS_IN_APP
没有为应用配置标识符 URI。
建议的解决方案
- 验证门户中已配置的标识符 URI 的应用程序配置。
- 检查 Microsoft Entra 应用程序的清单文件。
后续步骤
- 若要了解如何加入 Amazon Web Services (AWS) 帐户,请参阅加入 Amazon Web Services (AWS) 帐户。
- 有关如何在初始载入后载入帐户的信息,请参阅在载入后添加帐户/订阅/项目