Einrichtungsvoraussetzungen Beispiele für Lambda-Konto-Gating-Funktionen

Konfiguration eines Zielkonto-Gates in StackSets

Ein Account-Gate ist eine optionale Funktion, mit der Sie eine AWS Lambda Funktion angeben können, mit der überprüft werden kann, ob ein Zielkonto bestimmte Anforderungen erfüllt, bevor AWS CloudFormation StackSets mit dem Stack-Betrieb in diesem Konto begonnen wird. Ein gängiges Beispiel für ein Account-Gate ist die Überprüfung, ob auf dem Zielkonto keine CloudWatch Alarme aktiv oder ungelöst sind. StackSetsruft die Funktion jedes Mal auf, wenn Sie Stack-Operationen im Zielkonto starten, und setzt sie nur fort, wenn die Funktion einen Code zurückgibt. SUCCEEDED Wenn die Lambda-Funktion den Status zurückgibtFAILED, StackSets setzt die angeforderte Operation nicht fort. Wenn Sie keine Lambda-Funktion für das Account-Gating konfiguriert haben, StackSets überspringen Sie die Prüfung und setzen Sie Ihren Vorgang fort.

Wenn die Konto-Gate-Überprüfung des Zielkontos fehlschlägt, wird der fehlgeschlagene Vorgang Ihrer angegebene Ausfalltoleranz bzw. dem Prozentsatz für Stacks angerechnet. Weitere Informationen zur Fehlertoleranz finden Sie unter Optionen in den Operationen für Stack-Sets.

Account-Gating ist nur für Operationen verfügbar. StackSets Diese Funktion ist für andere AWS CloudFormation Operationen außerhalb von StackSets nicht verfügbar.

Einrichtungsvoraussetzungen

In der folgenden Liste werden die Einrichtungsvoraussetzungen für Konto-Gating beschrieben.

Um mit der StackSets Account-Gating-Funktion arbeiten zu können, muss Ihre Lambda-Funktion benannt werden. AWSCloudFormationStackSetAccountGate
Das AWSCloudFormationStackSetExecutionRolebenötigt Berechtigungen, um Ihre Lambda-Funktion aufzurufen. Ohne diese Berechtigungen StackSets überspringt er die Überprüfung der Kontozuweisung und fährt mit den Stack-Vorgängen fort.
Damit Konto-Gating funktioniert, muss Zielkonten die Lambda-Berechtigung InvokeFunction hinzugefügt werden. Die Vertrauensbeziehungs-Richtlinie des Zielkontos muss über eine Vertrauensbeziehung mit dem Administratorkonto verfügen. Es folgt ein Beispiel für eine Richtlinienanweisung, die die Lambda-Berechtigungen InvokeFunction erteilt.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": "*"
        }
    ]
}
```

Beispiele für Lambda-Konto-Gating-Funktionen

Die folgenden AWS CloudFormation Beispielvorlagen stehen Ihnen zur Erstellung von AWSCloudFormationStackSetAccountGateLambda-Funktionen zur Verfügung. Weitere Informationen zum Erstellen eines neuen Stacks mit einer dieser Vorlagen finden Sie unterEinen Stack von der CloudFormation Konsole aus erstellen.

Vorlagenspeicherort	Beschreibung
https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateSucceeded.yml	Erstellt einen Stack, der eine Lambda-Konto-Gate-Funktion implementiert, die den Status `SUCCEEDED` zurückgibt.
https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateFailed.yml	Erstellt einen Stack, der eine Lambda-Konto-Gate-Funktion implementiert, die den Status `FAILED` zurückgibt.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Löschen StackSets

Drift wird erkannt an StackSets