Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfiguration eines Zielkonto-Gates in StackSets
Ein Account-Gate ist eine optionale Funktion, mit der Sie eine AWS Lambda Funktion angeben können, mit der überprüft werden kann, ob ein Zielkonto bestimmte Anforderungen erfüllt, bevor AWS CloudFormation StackSets mit dem Stack-Betrieb in diesem Konto begonnen wird. Ein gängiges Beispiel für ein Account-Gate ist die Überprüfung, ob auf dem Zielkonto keine CloudWatch Alarme aktiv oder ungelöst sind. StackSetsruft die Funktion jedes Mal auf, wenn Sie Stack-Operationen im Zielkonto starten, und setzt sie nur fort, wenn die Funktion einen Code zurückgibt. SUCCEEDED
Wenn die Lambda-Funktion den Status zurückgibtFAILED
, StackSets setzt die angeforderte Operation nicht fort. Wenn Sie keine Lambda-Funktion für das Account-Gating konfiguriert haben, StackSets überspringen Sie die Prüfung und setzen Sie Ihren Vorgang fort.
Wenn die Konto-Gate-Überprüfung des Zielkontos fehlschlägt, wird der fehlgeschlagene Vorgang Ihrer angegebene Ausfalltoleranz bzw. dem Prozentsatz für Stacks angerechnet. Weitere Informationen zur Fehlertoleranz finden Sie unter Optionen in den Operationen für Stack-Sets.
Account-Gating ist nur für Operationen verfügbar. StackSets Diese Funktion ist für andere AWS CloudFormation Operationen außerhalb von StackSets nicht verfügbar.
Einrichtungsvoraussetzungen
In der folgenden Liste werden die Einrichtungsvoraussetzungen für Konto-Gating beschrieben.
-
Um mit der StackSets Account-Gating-Funktion arbeiten zu können, muss Ihre Lambda-Funktion benannt werden. AWSCloudFormationStackSetAccountGate
-
Das AWSCloudFormationStackSetExecutionRolebenötigt Berechtigungen, um Ihre Lambda-Funktion aufzurufen. Ohne diese Berechtigungen StackSets überspringt er die Überprüfung der Kontozuweisung und fährt mit den Stack-Vorgängen fort.
-
Damit Konto-Gating funktioniert, muss Zielkonten die Lambda-Berechtigung
InvokeFunction
hinzugefügt werden. Die Vertrauensbeziehungs-Richtlinie des Zielkontos muss über eine Vertrauensbeziehung mit dem Administratorkonto verfügen. Es folgt ein Beispiel für eine Richtlinienanweisung, die die Lambda-BerechtigungenInvokeFunction
erteilt.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "*" } ] }
Beispiele für Lambda-Konto-Gating-Funktionen
Die folgenden AWS CloudFormation Beispielvorlagen stehen Ihnen zur Erstellung von AWSCloudFormationStackSetAccountGateLambda-Funktionen zur Verfügung. Weitere Informationen zum Erstellen eines neuen Stacks mit einer dieser Vorlagen finden Sie unterEinen Stack von der CloudFormation Konsole aus erstellen.
Vorlagenspeicherort |
Beschreibung |
---|---|
Erstellt einen Stack, der eine Lambda-Konto-Gate-Funktion implementiert, die den Status |
|
Erstellt einen Stack, der eine Lambda-Konto-Gate-Funktion implementiert, die den Status |