错误代码：Microsoft Entra 权限管理

在载入期间，Microsoft Entra 权限管理可能会返回管理员可以会审的错误消息。 本文列出了权限管理 UI 中显示的数据收集错误消息及其说明，以及建议的解决方案。

AWS_ACCESSADVISOR_COLLECTION_ERROR

此帐户无权查看 Service Last Accessed。

建议的解决方案

• 验证是否已使用管理帐户凭据登录。 AWS 帐户必须具有有权生成、获取或列出 ServiceLastAccessDetails 或等效权限的策略。
• 在 AWS 管理控制台中，验证是否在组织根中启用了服务控制策略 (SCP)。

AWS_CLOUDTRAIL_DISABLED

AWS 环境未配置 CloudTrail，或者你无权访问 CloudTrail。

建议的解决方案

创建 AWS 帐户时，将会自动创建 CloudTrail。

要访问：

• 验证是否已使用管理帐户凭据登录。
• 在 AWS 组织中启用 CloudTrail 作为受信任的服务。
• 确保 AWS 帐户具有 CloudTrail 托管策略 AWSCloudTrail_FullAccess、AWSCloudTrail_ReadOnlyAccess 或已被授予等效权限。

AWS_CLOUDTRAIL_S3_ACCESS_DENIED

此帐户无权访问 S3 Bucket CloudTrail 日志。

建议的解决方案

要尝试的步骤：

• 验证是否已使用管理帐户凭据登录。
• 在 AWS 组织中启用 CloudTrail 作为受信任的服务。
• AWS 帐户必须具有 CloudTrail 托管策略 AWSCloudTrail_FullAccess 或已被授予等效权限。
• 对于跨帐户访问，每个帐户必须具有 IAM 角色，以及授予访问权限的访问策略。
• CloudTrail 必须具有将日志文件传送到 S3 存储桶所需的权限，并且将更新 S3 存储桶策略以接收和存储日志文件。

AWS_LDAP_CREDENTIALS_INVALID

LDAP 凭据无效。

建议的解决方案

验证域控制器上的硬盘驱动器是否未满。

AWS_LDAP_UNREACHABLE

尝试访问 LDAP 服务时连接失败。

建议的解决方案

此问题常见于用于启用 LDAPS 的 AWS 托管 Microsoft AD 连接器。 验证 AD 连接器是否可以通过 TCP 和 UDP 使用 88 (Kerberos) 和 389 (LDAP) 端口进行通信。

AWS_SYSTEM_ROLE_POLICIES_COLLECTION_ERROR

收集系统角色策略时出错。

建议的解决方案

如果系统角色策略包括服务控制策略 (SCP)，请验证是否已使用管理帐户凭据登录。 AWS 帐户必须具有显示策略详细信息和附加实体所需的权限。

ERROR_GCP_PROJECT_MIN_PERMISSION

项目权限不足。

建议的解决方案

验证是否已向你授予正确的 IAM 角色或具有等效权限的角色，可授予对项目的访问权限：组织管理员、安全管理员或项目 IAM 管理员。

ERROR_NO_IDENTIFIER_URIS_IN_APP

没有为应用配置标识符 URI。

建议的解决方案

• 验证门户中已配置的标识符 URI 的应用程序配置。
• 检查 Microsoft Entra 应用程序的清单文件。

后续步骤

• 若要了解如何加入 Amazon Web Services (AWS) 帐户，请参阅加入 Amazon Web Services (AWS) 帐户。
• 有关如何在初始载入后载入帐户的信息，请参阅在载入后添加帐户/订阅/项目