Activación del acceso de confianza para conjuntos de pilas con AWS Organizations
En este tema se proporcionan instrucciones sobre cómo activar el acceso de confianza con AWS Organizations, que los StackSets requieren para implementarse en todas las cuentas y Regiones de AWS mediante los permisos administrados por servicios. Para usar permisos autoadministrados, consulte en su lugar Concesión de permisos autoadministrados.
Antes de crear un conjunto de pilas con permisos administrados por servicios, primero debe completar las siguientes tareas:
-
Habilite todas las características en AWS Organizations. Con solo las características de facturación consolidadas habilitadas, no puede crear un conjunto de pilas con permisos administrados por servicios.
-
Active el acceso de confianza con AWS Organizations. Una vez activado el acceso de confianza, StackSets crea los roles de IAM necesarios en la cuenta de administración de la organización y en las cuentas de destino (miembro) cuando se crean conjuntos de pilas con permisos administrados por el servicio.
Con el acceso de confianza activado, la cuenta de administración y las cuentas de administrador delegado pueden crear y administrar conjuntos de pilas administradas por servicios para su organización.
Para activar el acceso de confianza, debe ser un usuario administrador en la cuenta de administración. Un usuario administrador es un usuario con permisos completos de su Cuenta de AWS. Para obtener más información, consulte Crear un usuario administrador en la Guía de referencia de AWS Account Management. Para obtener recomendaciones a fin de proteger la seguridad de la cuenta de administración, consulte Prácticas recomendadas para la cuenta de administración en la Guía del usuario de AWS Organizations.
Para activar el acceso de confianza
-
Inicie sesión en AWS como administrador de la cuenta de administración y abra la consola de CloudFormation en https://console.aws.amazon.com/cloudformation
. -
En el panel de navegación, seleccione StackSets (Conjuntos de pilas). Si el acceso de confianza está desactivado, aparece un banner que le pide que active el acceso de confianza.
-
Seleccione Activar el acceso de confianza.
El acceso de confianza se activa correctamente cuando aparece el siguiente banner.
nota
Activar el acceso a organizaciones es lo mismo que habilitar el acceso a organizaciones y desactivar el acceso a organizaciones es lo mismo que deshabilitar el acceso a organizaciones. Estos términos se actualizaron en función de las directrices de marketing.
Para desactivar el acceso de confianza
Consulte Conceptos de StackSets de AWS CloudFormation y AWS Organizations en la Guía del usuario de AWS Organizations.
Antes de desactivar el acceso de confianza con AWS Organizations, debe anular el registro de todos los administradores delegados. Para obtener más información, consulte Registro de un administrador delegado.
nota
Para obtener información sobre el uso de operaciones de API en lugar de la consola para activar o desactivar el acceso de confianza, consulte:
Roles vinculados a servicios
La cuenta de administración usa el rol vinculado al servicio AWSServiceRoleForCloudFormationStackSetsOrgAdmin. Puede modificar o eliminar este rol solo si el acceso de confianza con AWS Organizations está desactivado.
Cada cuenta de destino usa un rol vinculado al servicio AWSServiceRoleForCloudFormationStackSetsOrgMember. Puede modificar o eliminar este rol solo bajo dos condiciones: si el acceso de confianza con AWS Organizations está desactivado o si la cuenta se ha eliminado de la organización o unidad organizativa (OU) de destino.
Para obtener más información, consulte AWS CloudFormation StackSets y AWS Organizations en la Guía del usuario de AWS Organizations.
