AWS CloudFormation StackSets und AWS Organizations - AWS Organizations
Service-verknüpfte RollenService-PrinzipaleDen vertrauenswürdigen Zugriff aktivierenSo deaktivieren Sie den vertrauenswürdigen ZugriffDelegierten Administrator aktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS CloudFormation StackSets und AWS Organizations

AWS CloudFormation StackSets ermöglicht es Ihnen, Stacks über mehrere AWS-Konten und AWS-Regionen mit einem einzigen Vorgang zu erstellen, zu aktualisieren oder zu löschen. StackSets Die Integration mit AWS Organizations ermöglicht es Ihnen, Stack-Sets mit vom Dienst verwalteten Berechtigungen zu erstellen, indem Sie eine dienstbezogene Rolle verwenden, die in jedem Mitgliedskonto über die entsprechenden Berechtigungen verfügt. Auf diese Weise können Sie Stack-Instances für Mitgliedskonten in Ihrer Organisation bereitstellen. Sie müssen nicht die erforderlichen AWS Identity and Access Management Rollen erstellen, sondern StackSets erstellt die IAM-Rolle in jedem Mitgliedskonto in Ihrem Namen.

Sie können auch automatische Bereitstellungen für Konten aktivieren, die Ihrer Organisation in der Zukunft hinzugefügt werden. Wenn die automatische Bereitstellung aktiviert ist, werden Rollen und die Bereitstellung der zugehörigen Stackset-Instances automatisch zu allen Konten hinzugefügt, die dieser OU zukünftig hinzugefügt werden.

Wenn der vertrauenswürdige Zugriff zwischen StackSets und Organizations aktiviert ist, ist das Verwaltungskonto berechtigt, Stack-Sets für Ihre Organisation zu erstellen und zu verwalten. Das Verwaltungskonto kann bis zu fünf Mitgliedskonten als delegierte Administratoren registrieren. Wenn vertrauenswürdiger Zugriff aktiviert ist, haben delegierte Administratoren auch Berechtigungen zum Erstellen und Verwalten von Stack-Sets für Ihre Organisation. StackSets mit vom Service verwalteten Berechtigungen werden im Verwaltungskonto erstellt, einschließlich StackSets, die von delegierten Administratoren erstellt werden.

Wichtig

Delegierte Administratoren haben volle Berechtigungen für die Bereitstellung auf Konten Ihrer Organisation. Das Verwaltungskonto kann delegierte Administratorberechtigungen nicht auf die Bereitstellung auf bestimmten Organisationseinheiten oder die Durchführung bestimmter Operationen für Stack-Sets beschränken.

Weitere Informationen zur Integration StackSets mit Organizations finden Sie unter Arbeiten mit AWS CloudFormation StackSets im AWS CloudFormation Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, um Ihnen bei der Integration AWS CloudFormation StackSets mit zu helfen AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rolle ermöglicht es AWS CloudFormation Stacksets, unterstützte Operationen innerhalb der Konten Ihrer Organisation in Ihrer Organisation durchzuführen.

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen AWS CloudFormation -Stacksets und Organizations deaktivieren oder das Mitgliedskonto aus der Organisation entfernen.

  • Verwaltungskonto: AWSServiceRoleForCloudFormationStackSetsOrgAdmin

Um die serviceverknüpfte Rolle AWSServiceRoleForCloudFormationStackSetsOrgMember für die Mitgliedskonten in Ihrer Organisation zu erstellen, müssen Sie zunächst einen Stack-Satz im Managementkonto erstellen. Dies erstellt eine Stack-Satz-Instance, die dann die Rolle in den Mitgliedskonten erstellt.

  • Mitgliedskonten: AWSServiceRoleForCloudFormationStackSetsOrgMember

Weitere Informationen zum Erstellen von Stack-Sets finden Sie unter Arbeiten mit AWS CloudFormation StackSets im AWS CloudFormation Benutzerhandbuch.

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von AWS CloudFormation Stacksets verwendeten dienstbezogenen Rollen gewähren Zugriff auf die folgenden Dienstprinzipale:

  • Verwaltungskonto: stacksets.cloudformation.amazonaws.com

    Sie können diese Rolle nur ändern oder löschen, wenn Sie den vertrauenswürdigen Zugriff zwischen StackSets Organizations deaktiviert haben.

  • Mitgliedskonten: member.org.stacksets.cloudformation.amazonaws.com

    Sie können diese Rolle nur ändern oder aus einem Konto löschen, wenn Sie zuerst den vertrauenswürdigen Zugriff zwischen StackSets Organizations deaktivieren oder wenn Sie das Konto zuerst aus der Zielorganisation oder Organisationseinheit (OU) entfernen.

Aktivieren Sie den vertrauenswürdigen Zugriff mit AWS CloudFormation -Stack-Sets

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Nur ein Administrator im Organisationsverwaltungskonto hat die Berechtigung, vertrauenswürdigen Zugriff mit einem anderen AWS Dienst zu aktivieren. Sie können den vertrauenswürdigen Zugriff entweder über die AWS CloudFormation -Konsole oder über die Organizations-Konsole aktivieren.

Sie können den vertrauenswürdigen Zugriff nur mit aktivieren AWS CloudFormation StackSets.

Informationen zum Aktivieren des vertrauenswürdigen Zugriffs über die AWS CloudFormation Stacksets-Konsole finden Sie unter Vertrauenswürdigen Zugriff aktivieren mit AWS Organizations im AWS CloudFormation Benutzerhandbuch.

Deaktivieren Sie den vertrauenswürdigen Zugriff mit AWS CloudFormation -Stack-Sets

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

Nur ein Administrator in einem Organisationsverwaltungskonto ist berechtigt, den vertrauenswürdigen Zugriff mit einem anderen AWS Dienst zu deaktivieren. Sie können den vertrauenswürdigen Zugriff nur über die Organizations-Konsole deaktivieren. Wenn Sie den vertrauenswürdigen Zugriff mit Organizations während der Nutzung deaktivieren StackSets, werden alle zuvor erstellten Stack-Instances beibehalten. Stack-Sets, die mit den Berechtigungen der serviceverknüpften Rolle bereitgestellt werden, können jedoch keine Bereitstellungen mehr für Konten ausführen, die von Organizations verwaltet werden.

Sie können den vertrauenswürdigen Zugriff entweder über die AWS CloudFormation Konsole oder die Organisationskonsole deaktivieren.

Wichtig

Wenn Sie den vertrauenswürdigen Zugriff programmgesteuert deaktivieren (z. B. mit AWS CLI oder mit einer API), beachten Sie, dass dadurch die Berechtigung entzogen wird. Es ist besser, den vertrauenswürdigen Zugriff mit der AWS CloudFormation Konsole zu deaktivieren.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Organizations-Befehl ausführen oder einen Organizations-API-Vorgang in einem der AWS SDKs aufrufen.

AWS Management Console
So deaktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Wählen Sie im Navigationsbereich Services.

  3. Wählen Sie AWS CloudFormation StackSetsin der Liste der Dienste aus.

  4. Wählen Sie Vertrauenswürdigen Zugriff deaktivieren.

  5. Geben Sie im AWS CloudFormation StackSets Dialogfeld Vertrauenswürdigen Zugriff deaktivieren für zur Bestätigung den Wert disable ein, und wählen Sie dann Vertrauenswürdigen Zugriff deaktivieren aus.

  6. Wenn Sie der Administrator von Only sind AWS Organizations, teilen Sie dem Administrator mit AWS CloudFormation StackSets , dass er diesen Dienst jetzt mithilfe der Konsole oder der Tools deaktivieren kann AWS Organizations.

AWS CLI, AWS API
So deaktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Sie können die folgenden AWS CLI Befehle oder API-Operationen verwenden, um den vertrauenswürdigen Dienstzugriff zu deaktivieren:

  • AWS CLI: disable-aws-service-access

    Sie können den folgenden Befehl ausführen, um ihn AWS CloudFormation StackSets als vertrauenswürdigen Dienst bei Organizations zu deaktivieren.

    $ aws organizations disable-aws-service-access \
    --service-principal stacksets.cloudformation.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS API: Deaktivieren AWSServiceAccess

Aktivierung eines delegierten Administratorkontos für Stacksets AWS CloudFormation

Wenn Sie ein Mitgliedskonto als delegierten Administrator für die Organisation festlegen, können Benutzer und Rollen dieses Kontos Verwaltungsaktionen für AWS CloudFormation Stacksets ausführen, die ansonsten nur von Benutzern oder Rollen im Verwaltungskonto der Organisation ausgeführt werden können. Auf diese Weise können Sie die Verwaltung der Organisation von der Verwaltung von Stacksets trennen. AWS CloudFormation

Anweisungen zum Festlegen eines Mitgliedskontos als delegierter Administrator von AWS CloudFormation Stacksets in der Organisation finden Sie unter Registrieren eines delegierten Administrators im AWS CloudFormation -Benutzerhandbuch.