Konfiguration eines Zielkonto-Gates in StackSets - AWS CloudFormation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration eines Zielkonto-Gates in StackSets

Ein Account-Gate ist eine optionale Funktion, mit der Sie eine AWS Lambda Funktion angeben können, mit der überprüft werden kann, ob ein Zielkonto bestimmte Anforderungen erfüllt, bevor AWS CloudFormation StackSets mit dem Stack-Betrieb in diesem Konto begonnen wird. Ein gängiges Beispiel für ein Account-Gate ist die Überprüfung, ob auf dem Zielkonto keine CloudWatch Alarme aktiv oder ungelöst sind. StackSetsruft die Funktion jedes Mal auf, wenn Sie Stack-Operationen im Zielkonto starten, und setzt sie nur fort, wenn die Funktion einen Code zurückgibt. SUCCEEDED Wenn die Lambda-Funktion den Status zurückgibtFAILED, StackSets setzt die angeforderte Operation nicht fort. Wenn Sie keine Lambda-Funktion für das Account-Gating konfiguriert haben, StackSets überspringen Sie die Prüfung und setzen Sie Ihren Vorgang fort.

Wenn die Konto-Gate-Überprüfung des Zielkontos fehlschlägt, wird der fehlgeschlagene Vorgang Ihrer angegebene Ausfalltoleranz bzw. dem Prozentsatz für Stacks angerechnet. Weitere Informationen zur Fehlertoleranz finden Sie unter Optionen in den Operationen für Stack-Sets.

Account-Gating ist nur für Operationen verfügbar. StackSets Diese Funktion ist für andere AWS CloudFormation Operationen außerhalb von StackSets nicht verfügbar.

Einrichtungsvoraussetzungen

In der folgenden Liste werden die Einrichtungsvoraussetzungen für Konto-Gating beschrieben.

  • Um mit der StackSets Account-Gating-Funktion arbeiten zu können, muss Ihre Lambda-Funktion benannt werden. AWSCloudFormationStackSetAccountGate

  • Das AWSCloudFormationStackSetExecutionRolebenötigt Berechtigungen, um Ihre Lambda-Funktion aufzurufen. Ohne diese Berechtigungen StackSets überspringt er die Überprüfung der Kontozuweisung und fährt mit den Stack-Vorgängen fort.

  • Damit Konto-Gating funktioniert, muss Zielkonten die Lambda-Berechtigung InvokeFunction hinzugefügt werden. Die Vertrauensbeziehungs-Richtlinie des Zielkontos muss über eine Vertrauensbeziehung mit dem Administratorkonto verfügen. Es folgt ein Beispiel für eine Richtlinienanweisung, die die Lambda-Berechtigungen InvokeFunction erteilt.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "*" } ] }

Beispiele für Lambda-Konto-Gating-Funktionen

Die folgenden AWS CloudFormation Beispielvorlagen stehen Ihnen zur Erstellung von AWSCloudFormationStackSetAccountGateLambda-Funktionen zur Verfügung. Weitere Informationen zum Erstellen eines neuen Stacks mit einer dieser Vorlagen finden Sie unterEinen Stack von der CloudFormation Konsole aus erstellen.

Vorlagenspeicherort

Beschreibung

https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateSucceeded.yml

Erstellt einen Stack, der eine Lambda-Konto-Gate-Funktion implementiert, die den Status SUCCEEDED zurückgibt.

https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateFailed.yml

Erstellt einen Stack, der eine Lambda-Konto-Gate-Funktion implementiert, die den Status FAILED zurückgibt.