Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# CloudFormation StackSets Mit vom Service verwalteten Berechtigungen erstellen
Mit vom *Dienst verwalteten* Berechtigungen können Sie Stacks für Konten bereitstellen, die von AWS Organizations in bestimmten Regionen verwaltet werden. Bei diesem Modell müssen Sie nicht in jedem Zielkonto und IAM-Rollen erstellen. AWS-Region CloudFormation erstellt die IAM-Rollen in Ihrem Namen. Weitere Informationen finden Sie unter [Aktivieren Sie den vertrauenswürdigen Zugriff](stacksets-orgs-activate-trusted-access.md).
**Topics**
+ [Überlegungen](#stacksets-orgs-considerations)
+ [Erstellen Sie eine StackSet mit vom Dienst verwalteten Berechtigungen (Konsole)](#stacksets-orgs-associate-stackset-with-org-console)
+ [Erstellen Sie eine StackSet mit vom Service verwalteten Berechtigungen ()AWS CLI](#stacksets-orgs-associate-stackset-with-org-cli)
## Überlegungen
Bevor Sie eine StackSet mit vom Service verwalteten Berechtigungen erstellen, sollten Sie Folgendes berücksichtigen:
+ StackSets mit vom Dienst verwalteten Berechtigungen können entweder über das Verwaltungskonto Ihrer Organisation oder über delegierte Administratorkonten initiiert werden, aber alle Vorgänge werden über das Verwaltungskonto ausgeführt.
+ CloudFormation verteilt keine Stacks für das Verwaltungskonto, auch wenn dieses Konto Teil Ihrer Organisation oder einer Organisationseinheit (OU) ist.
+ Sie StackSet können Ihre gesamte Organisation (einschließlich aller Konten) oder bestimmte Ziele als Ziel angeben OUs. Wenn ein StackSet Ziel auf eine übergeordnete Organisationseinheit abzielt, schließt es automatisch jedes Kind mit ein OUs. Wenn es sich um ein bestimmtes StackSet Ziel handelt OUs, schließt es standardmäßig alle Konten innerhalb dieser Konten ein OUs. Sie können jedoch mit Hilfe von Konto-Filteroptionen bestimmte Konten anvisieren.
+ Mehrere StackSets können auf dieselbe Organisation oder Organisationseinheit abzielen.
+ Sie können keine Konten außerhalb Ihres Unternehmens anvisieren.
+ Ihre Bereitstellungsautorisierung StackSets hängt von den Berechtigungen ab, die dem IAM-Prinzipal (Benutzer, Rolle oder Gruppe) zugewiesen wurden, mit dem Sie sich beim Verwaltungskonto anmelden. Eine IAM-Beispielrichtlinie, die Berechtigungen für die Bereitstellung in einer Organisation erteilt, finden Sie unter [Einschränkung von Stack-Set-Operationen basierend auf Region und Ressourcentypen](security_iam_id-based-policy-examples.md#resource-level-permissions-service-managed-stack-set).
+ Delegierte Administratoren haben die volle Berechtigung zur Bereitstellung für jedes Konto in Ihrem Unternehmen. Das Verwaltungskonto kann delegierte Administratorberechtigungen nicht auf die Bereitstellung auf bestimmte OUs Operationen beschränken. StackSet
+ Die Einstellungen für die automatische Bereitstellung gelten auf der entsprechenden StackSet Ebene. Sie können automatische Bereitstellungen nicht selektiv für OUs Konten oder Regionen anpassen.
+ StackSets die vom Dienst verwaltete Berechtigungen verwenden, unterstützen keine verschachtelten Stacks oder Vorlagen, die Makros oder Transformationen enthalten.
## Erstellen Sie eine StackSet mit vom Dienst verwalteten Berechtigungen (Konsole)
**Um eine zu erstellen StackSet**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm die aus, von der aus Sie AWS-Region die StackSet verwalten möchten.
1. **StackSets**.
1. Wählen Sie oben **StackSets**auf der Seite die Option **Erstellen** aus StackSet.
1. Wählen Sie unter **Permissions (Berechtigungen)** die Option **Service-managed permissions (Serviceverwaltete Berechtigungen)** aus.
**Anmerkung**
Wenn der vertrauenswürdige Zugriff mit deaktiviert AWS Organizations ist, wird ein Banner angezeigt. Vertrauenswürdiger Zugriff ist erforderlich, um eine StackSet mit vom Dienst verwalteten Berechtigungen zu erstellen oder zu aktualisieren. Nur der Administrator im Verwaltungskonto der Organisation verfügt über Berechtigungen für [Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations](stacksets-orgs-activate-trusted-access.md).
1. Wählen Sie unter **Voraussetzung- Vorlage vorbereiten**, **Vorlage ist bereit**.
1. Wählen Sie unter **Specify template (Vorlage angeben)** entweder die URL für den S3-Bucket, der Ihre Stack-Vorlage enthält, aus oder laden Sie eine Stack-Vorlagendatei hoch. Wählen Sie anschließend **Weiter**.
1. Geben Sie auf der Seite „** StackSet Details angeben**“ einen Namen für den ein StackSet, geben Sie alle Parameter an, und klicken Sie dann auf **Weiter**.
1. Geben Sie auf der Seite ** StackSet Optionen konfigurieren** unter **Tags** alle Tags an, die auf Ressourcen in Ihrem Stack angewendet werden sollen. Weitere Informationen zur Verwendung von Tags finden Sie im AWS*AWS Fakturierung und Kostenmanagement Benutzerhandbuch* unter [Organisieren und Nachverfolgen von AWS Kosten mithilfe von Kostenzuordnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html).
1. Wählen Sie für die **Ausführungskonfiguration** die Option **Aktiv** aus, um CloudFormation die optimierte Betriebsbehandlung zu aktivieren:
+ Nicht konkurrierende Operationen werden gleichzeitig ausgeführt, um die Einsatzzeiten zu verkürzen.
+ Sich widersprechende Vorgänge werden automatisch in eine Warteschlange gestellt und in der Reihenfolge bearbeitet, in der sie angefordert wurden.
Während der Ausführung von Vorgängen oder in der Warteschlange stehen, werden alle eingehenden Vorgänge in CloudFormation die Warteschlange gestellt, auch wenn sie nicht miteinander in Konflikt stehen. Während dieser Zeit können Sie die Ausführungseinstellungen nicht ändern.
1. Wenn Ihre Vorlage IAM-Ressourcen enthält, wählen Sie für **Fähigkeiten**die Option **Ich bestätige, dass diese Vorlage IAM-Ressourcen erstellen kann** um anzugeben, dass Sie IAM-Ressourcen in der Vorlage verwenden möchten. Weitere Informationen finden Sie unter [Bestätigung von IAM-Ressourcen in Vorlagen CloudFormation](control-access-with-iam.md#using-iam-capabilities).
1. Wählen Sie **Weiter** aus, um fortzufahren und den vertrauenswürdigen Zugriff zu aktivieren, falls er noch nicht aktiviert ist.
1. Führen Sie auf der Seite **Bereitstellungsoptionen festlegen** unter **Bereitstellungsziele**einen der folgenden Schritte aus:
+ Um alle Konten in Ihrer Organisation zu verteilen, wählen Sie **Verteilen an Organisation**.
+ Um die Bereitstellung für alle bestimmten Konten durchzuführen OUs, wählen Sie Für **Organisationseinheiten bereitstellen** () aus. OUs Wählen Sie **Add an OU (OU hinzufügen)** aus und fügen Sie dann die Ziel-OU-ID in das Textfeld ein. Wiederholen Sie den Vorgang für jede neue Ziel-OU.
Wenn Sie für **den **Filtertyp Konto** die Option Für Organisationseinheiten bereitstellen (OUs)** ausgewählt haben, können Sie Ihre Bereitstellungsziele auf bestimmte einzelne Konten festlegen, indem Sie eine der folgenden Optionen wählen und die Kontonummern angeben.
+ **Keine** (Standard) — Stacks werden für alle Konten in den angegebenen OUs Konten bereitgestellt.
+ **Schnittmenge** — Stellen Sie Stacks für bestimmte einzelne Konten innerhalb der ausgewählten Konten bereit. OUs
+ **Unterschied** — Stellen Sie Stacks für alle Konten in den ausgewählten Konten bereit, OUs mit Ausnahme bestimmter Konten.
+ **Vereinigung** — Stellt Stacks für die angegebenen Konten OUs sowie für weitere individuelle Konten bereit.
1. Wählen Sie unter **Automatische Bereitstellung** aus, ob die Bereitstellung automatisch für Konten erfolgen soll, die der Zielorganisation hinzugefügt werden, oder für Konten, die der Zielorganisation hinzugefügt werden, oder OUs für future Konten. Weitere Informationen finden Sie unter [Automatische Bereitstellungen für StackSets in aktivieren oder deaktivieren AWS Organizations](stacksets-orgs-manage-auto-deployment.md).
1. Wenn Sie die automatische Bereitstellung aktiviert haben, wählen Sie unter **Account removal behavior (Kontoentfernungsverhalten)** aus, ob Stack-Ressourcen beibehalten oder gelöscht werden, wenn ein Konto aus einer Zielorganisation oder OU entfernt wird.
**Anmerkung**
Wenn **Stapel beibehalten** ausgewählt ist, werden Stapel aus Ihren entfernt StackSet, aber die Stapel und die zugehörigen Ressourcen bleiben erhalten. Die Ressourcen bleiben in ihrem aktuellen Zustand, sind aber nicht mehr Teil von. StackSet
1. Wählen Sie unter **Regionen angeben**die Regionen aus, in denen Sie Stacks einsetzen möchten.
1. Für **Einsatzoptionen**gehen Sie wie folgt vor:
+ Geben Sie für **Maximale Anzahl gleichzeitiger Konten**an, wie viele Konten gleichzeitig bearbeitet werden.
+ Geben Sie für **Fehlertoleranz**die maximal zulässige Anzahl von Kontoausfällen pro Region an. Die Operation wird gestoppt und nicht mit anderen Regionen fortgesetzt, sobald dieses Limit erreicht ist.
+ Für **Gleichzeitigkeit der Regionen**wählen Sie, wie die Regionen verarbeitet werden sollen: **Sequentiell** (eine Region auf einmal) oder **Parallel** (mehrere Regionen gleichzeitig).
+ Wählen Sie für **Gleichzeitigkeitsmodus**, wie sich die Gleichzeitigkeit während der Ausführung der Operation verhält.
+ **Strenge Fehlertoleranz**- Reduziert den Gleichzeitigkeitsgrad des Kontos, wenn Fehler auftreten, und bleibt dabei innerhalb der **Fehlertoleranz** \$11.
+ **Weiche Fehlertoleranz**- Behält die von Ihnen angegebene Gleichzeitigkeitsstufe (den Wert von **Maximale gleichzeitige Konten**) unabhängig von Fehlern bei.
+ Fügen Sie für StackSet **Abhängigkeiten** abhängige hinzu StackSet ARNs und bleiben Sie dabei innerhalb von maximal 10 Abhängigkeiten. Weitere Informationen finden Sie unter [Automatische Bereitstellungen für StackSets in aktivieren oder deaktivieren AWS Organizations](stacksets-orgs-manage-auto-deployment.md).
1. Wählen Sie **Next** (Weiter), um fortzufahren.
1. Vergewissern Sie sich auf der Seite „**Überprüfen**“, dass StackSet Sie die Bereitstellung für die richtigen Konten in den richtigen Regionen durchführen, und wählen Sie dann **Create** aus StackSet.
Die **StackSet Detailseite** wird geöffnet. Sie können den Fortschritt und den Status der Erstellung der Stacks in Ihrem StackSet einsehen.
## Erstellen Sie eine StackSet mit vom Service verwalteten Berechtigungen ()AWS CLI
Folgen Sie den Schritten in diesem Abschnitt, um Folgendes AWS CLI zu verwenden:
+ Erstellen Sie den StackSet Container.
+ Stellen Sie Stack-Instances bereit.
**Anmerkung**
Wenn Sie als beauftragter Administrator handeln, müssen Sie `--call-as DELEGATED_ADMIN` in den Befehl einfügen.
------
#### [ Deploy to your organization ]
**Um einen zu erstellen StackSet**
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html)Befehl, um einen neuen StackSet Namen zu erstellen`my-stackset`. Das folgende Beispiel verwendet eine Vorlage, die in einem S3-Bucket gespeichert ist, aktiviert automatische Bereitstellungen und bewahrt Stapel, wenn Konten entfernt werden. Weitere Informationen finden Sie unter [Automatische Bereitstellungen für StackSets in aktivieren oder deaktivieren AWS Organizations](stacksets-orgs-manage-auto-deployment.md).
```
aws cloudformation create-stack-set \
--stack-set-name my-stackset \
--template-url https://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/MyApp.template \
--permission-model SERVICE_MANAGED \
--auto-deployment Enabled=true,RetainStacksOnAccountRemoval=true,DependsOn=ARN1,ARN2
```
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html)Befehl, um zu bestätigen, dass Ihr erstellt StackSet wurde. Ihr neues StackSet wird in den Ergebnissen aufgeführt.
```
aws cloudformation list-stack-sets
```
+ Wenn Sie die `--call-as` Option auf einstellen, `DELEGATED_ADMIN` während Sie in Ihrem Mitgliedskonto angemeldet sind, werden alle StackSets mit vom Dienst verwalteten Berechtigungen im Verwaltungskonto der Organisation **list-stack-sets** zurückgegeben.
+ Wenn Sie die `--call-as` Option auf einstellen, `SELF` während Sie bei Ihrem angemeldet sind AWS-Konto, werden alle selbstverwalteten Daten StackSets in Ihrem **list-stack-sets** zurückgegeben. AWS-Konto
+ Wenn Sie die `--call-as` Option auf einstellen, `SELF` während Sie beim Verwaltungskonto der Organisation angemeldet sind, werden alle Daten StackSets im Verwaltungskonto der Organisation **list-stack-sets** zurückgegeben.
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html)Befehl, um Stapel zu Ihrem StackSet hinzuzufügen. Für die Option `--deployment-targets` geben Sie die Stamm-ID der Organisation an, um sie für alle Konten in Ihrer Organisation bereitzustellen.
Legen Sie mit der Option `--operation-preferences` die Verarbeitung von Gleichzeitigkeitskonten und andere Bereitstellungseinstellungen fest. Dieses Beispiel verwendet zählbasierte Einstellungen. Beachten Sie, dass `MaxConcurrentCount` nicht größer sein darf als `FailureToleranceCount` \$1 1. Für prozentuale Einstellungen verwenden Sie stattdessen `FailureTolerancePercentage` oder `MaxConcurrentPercentage` .
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=r-a1b2c3d4e5 \
--regions us-west-2 us-east-1 \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
Weitere Informationen finden Sie unter [CreateStackInstances](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackInstances.html) in der *AWS CloudFormation -API-Referenz*.
1. Verwenden Sie den `operation-id`-Befehl, der als Teil der **create-stack-instances**-Ausgabe zurückgegeben wurde, und überprüfen Sie mit dem folgenden [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html)-Befehl, ob Ihre Stack erfolgreich erstellt wurden.
```
aws cloudformation describe-stack-set-operation \
--stack-set-name my-stackset \
--operation-id operation_ID
```
------
#### [ Deploy to organizational units (OUs) ]
**Um ein zu erstellen StackSet**
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html)Befehl, um einen neuen StackSet Namen zu erstellen`my-stackset`. Das folgende Beispiel verwendet eine in einem S3-Bucket gespeicherte Vorlage und enthält einen Parameter, der ein `KeyPairName` mit dem Wert `TestKey`festlegt
```
aws cloudformation create-stack-set \
--stack-set-name my-stackset \
--template-url https://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/MyApp.template \
--permission-model SERVICE_MANAGED \
--parameters ParameterKey=KeyPairName,ParameterValue=TestKey
```
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html)Befehl, um zu bestätigen, dass Ihr erstellt StackSet wurde. Ihr neues StackSet wird in den Ergebnissen aufgeführt.
```
aws cloudformation list-stack-sets
```
+ Wenn Sie die `--call-as` Option auf einstellen, `DELEGATED_ADMIN` während Sie in Ihrem Mitgliedskonto angemeldet sind, werden alle StackSets mit vom Dienst verwalteten Berechtigungen im Verwaltungskonto der Organisation **list-stack-sets** zurückgegeben.
+ Wenn Sie die `--call-as` Option auf einstellen, `SELF` während Sie bei Ihrem angemeldet sind AWS-Konto, werden alle selbstverwalteten Daten StackSets in Ihrem **list-stack-sets** zurückgegeben. AWS-Konto
+ Wenn Sie die `--call-as` Option auf einstellen, `SELF` während Sie beim Verwaltungskonto der Organisation angemeldet sind, werden alle Daten StackSets im Verwaltungskonto der Organisation **list-stack-sets** zurückgegeben.
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html)Befehl, um Stapel zu Ihrem StackSet hinzuzufügen. Geben Sie für die `--deployment-targets` Option die Organisationseinheit an, in der die Bereitstellung erfolgen IDs soll.
Legen Sie mit der Option `--operation-preferences` die Verarbeitung von Gleichzeitigkeitskonten und andere Bereitstellungseinstellungen fest. Dieses Beispiel verwendet zählbasierte Einstellungen. Beachten Sie, dass `MaxConcurrentCount` nicht größer sein darf als `FailureToleranceCount` \$1 1. Für prozentuale Einstellungen verwenden Sie stattdessen `FailureTolerancePercentage` oder `MaxConcurrentPercentage` .
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=ou-rcuk-1x5j1lwo,ou-rcuk-slr5lh0a \
--regions us-west-2 us-east-1 \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
Weitere Informationen finden Sie unter [CreateStackInstances](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackInstances.html) in der *AWS CloudFormation -API-Referenz*.
1. Verwenden Sie den `operation-id`-Befehl, der als Teil der **create-stack-instances**-Ausgabe zurückgegeben wurde, und überprüfen Sie mit dem folgenden [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html)-Befehl, ob Ihre Stack erfolgreich erstellt wurden.
```
aws cloudformation describe-stack-set-operation \
--stack-set-name my-stackset \
--operation-id operation_ID
```
------
#### [ Deploy to specific accounts in OUs ]
Sie können auf bestimmte Organisationseinheiten (OUs) abzielen und mithilfe der Kontofilterung genau steuern, welche Konten Stack-Bereitstellungen erhalten. Standardmäßig werden Stacks für alle Konten innerhalb der angegebenen Konten bereitgestellt, OUs wenn keine Kontofilterung angegeben ist.
In der AWS CLI geben Sie die Kontofilterung mit der `--deployment-targets` Option an. Weitere Informationen finden Sie unter [DeploymentTargets](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeploymentTargets.html).
Nachdem Sie den StackSet Container mit dem **create-stack-set** Befehl erstellt haben, verwenden Sie eines der folgenden Beispiele, um Stacks für bestimmte Konten bereitzustellen.
**Bestimmte Konten in einer OU anvisieren**
Im folgenden Beispiel werden Stacks nur für die Konten A1 und A2 in bereitgestellt. OU1
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=OU1,Accounts=A1,A2,AccountFilterType=INTERSECTION \
--regions us-west-2 us-east-1
```
**Konten aus einer OU ausschließen**
Im folgenden Beispiel werden Stacks für alle Konten OU1 außer den Konten A1 und A2 bereitgestellt.
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=OU1,Accounts=A1,A2,AccountFilterType=DIFFERENCE \
--regions us-west-2 us-east-1
```
------