Habilite las políticas predeterminadas en todas las cuentas y regiones - Amazon EBS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilite las políticas predeterminadas en todas las cuentas y regiones

Con AWS CloudFormation StackSets él, puede activar las políticas predeterminadas de Amazon Data Lifecycle Manager en varias cuentas y AWS regiones con una sola operación.

Puede usar conjuntos apilados para habilitar las políticas predeterminadas de una de las siguientes maneras:

  • En toda AWS la organización: garantiza que las políticas predeterminadas estén habilitadas y configuradas de forma coherente en toda AWS la organización o en unidades organizativas específicas de una organización. Esto se hace mediante permisos gestionados por el servicio. AWS CloudFormation StackSets crea las funciones de IAM necesarias en su nombre.

  • En AWS cuentas específicas: garantiza que las políticas predeterminadas estén habilitadas y configuradas de forma coherente en todas las cuentas de destino específicas. Esto requiere permisos autogestionados. Debe crear las funciones de IAM necesarias para establecer la relación de confianza entre la cuenta de administrador del conjunto apilado y las cuentas de destino.

Para obtener más información, consulte los modelos de permisos para conjuntos apilados en la Guía del AWS CloudFormation usuario.

Utilice los siguientes procedimientos para activar las políticas predeterminadas de Amazon Data Lifecycle Manager en toda AWS la organización, en unidades organizativas específicas o en cuentas de destino específicas.

Requisitos previos

Realice una de las siguientes acciones, en función de cómo esté habilitando las políticas predeterminadas:

Console
Para habilitar las políticas predeterminadas en una AWS organización o en cuentas de destino específicas

  1. Abre la AWS CloudFormation consola en https://console.aws.amazon.com/cloudformation.

  2. En el panel de navegación, elija y StackSets, a continuación, elija Crear StackSet.

  3. En el caso de los permisos, realice una de las siguientes acciones, en función de cómo esté habilitando las políticas predeterminadas:

    • (En toda AWS la organización) Elija permisos administrados por el servicio.

    • (En cuentas de destino específicas) Elija permisos de autoservicio. A continuación, para el ARN del rol de administrador de IAM, seleccione el rol de servicio de IAM que creó para la cuenta de administrador y, para el nombre del rol de ejecución de IAM, introduzca el nombre del rol de servicio de IAM que creó en las cuentas de destino.

  4. En Preparar plantilla, selecciona Usar una plantilla de ejemplo.

  5. Para las plantillas de muestra, realice una de las siguientes acciones:

    • (Política predeterminada para las instantáneas de EBS) Seleccione Crear políticas predeterminadas de Amazon Data Lifecycle Manager para las instantáneas de EBS.

    • (Política predeterminada para las AMI respaldadas por EBS) Seleccione Crear políticas predeterminadas de Amazon Data Lifecycle Manager para las AMI respaldadas por EBS.

  6. Elija Siguiente.

  7. Para el StackSet nombre y la StackSet descripción, introduzca un nombre descriptivo y una breve descripción.

  8. En la sección Parámetros, configure los ajustes de política predeterminados según sea necesario.

    nota

    Para cargas de trabajo críticas, recomendamos CreateInterval = 1 día y RetainInterval = 7 días.

  9. Elija Siguiente.

  10. (Opcional) En el caso de las etiquetas, especifique etiquetas que le ayuden a identificar los recursos StackSet y a apilarlos.

  11. En Ejecución gestionada, elija Activa.

  12. Elija Siguiente.

  13. En Add stacks to stack set (Agregar pilas al conjunto de pilas), seleccione Deploy new stacks (Implementar pilas nuevas).

  14. Realice una de las siguientes acciones, en función de cómo esté habilitando las políticas predeterminadas:

    • (En toda AWS la organización) Para los objetivos de implementación, elija una de las siguientes opciones:

      • Para realizar la implementación en toda AWS la organización, elija Implementar en la organización.

      • Para realizar la implementación en unidades organizativas (OU) específicas, elija Implementar en unidades organizativas y, a continuación, para el ID de la OU, introduzca la ID de la OU. Para agregar unidades organizativas adicionales, elija Agregar otra unidad organizativa.

    • (En cuentas de destino específicas) En el caso de las cuentas, realice una de las siguientes acciones:

      • Para realizar la implementación en cuentas de destino específicas, selecciona Implementar pilas en las cuentas y, a continuación, en Números de cuenta, introduce los ID de las cuentas de destino.

      • Para realizar la implementación en todas las cuentas de una unidad organizativa específica, seleccione Implementar pila en todas las cuentas de una unidad organizativa y, a continuación, en Números de organización, introduzca el ID de la unidad organizativa de destino.

  15. Para el despliegue automático, elija Activado.

  16. Para ver el comportamiento de eliminación de cuentas, selecciona Conservar pilas.

  17. En Especificar regiones, selecciona regiones específicas en las que habilitar las políticas predeterminadas o selecciona Agregar todas las regiones para habilitar las políticas predeterminadas en todas las regiones.

  18. Elija Siguiente.

  19. Revisa la configuración del conjunto de pilas, selecciona Sé que AWS CloudFormation podría crear recursos de IAM y, a continuación, selecciona Enviar.

AWS CLI
Para habilitar las políticas predeterminadas en una organización AWS

  1. Cree el conjunto de pilas. Utilice el comando create-stack-set.

    En --permission-model, especifique SERVICE_MANAGED.

    Para--template-url, especifique una de las siguientes direcciones URL de plantilla:

    • (Políticas predeterminadas para las AMI respaldadas por EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (Políticas predeterminadas para las instantáneas de EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    Para--parameters, especifique la configuración de las políticas predeterminadas. Para ver los parámetros compatibles, las descripciones de los parámetros y los valores válidos, descargue la plantilla mediante la URL y, a continuación, visualice la plantilla con un editor de texto.

    En --auto-deployment, especifique Enabled=true, RetainStacksOnAccountRemoval=true.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--permission-model SERVICE_MANAGED \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. Implemente el conjunto de pilas. Usa el comando create-stack-instances.

    Para--stack-set-name, especifique el nombre del conjunto de pilas que creó en el paso anterior.

    Para --deployment-targets OrganizationalUnitIds ello, especifique el ID de la OU raíz para implementarla en toda la organización o los ID de la OU para implementarla en unidades organizativas específicas de la organización.

    Para--regions, especifique las AWS regiones en las que desea habilitar las políticas predeterminadas.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--deployment-targets OrganizationalUnitIds='["root_ou_id"]' | '["ou_id_1", "ou_id_2]' \
--regions '["region_1", "region_2"]'
Para habilitar las políticas predeterminadas en cuentas de destino específicas

  1. Cree el conjunto de pilas. Utilice el comando create-stack-set.

    Para--template-url, especifique una de las siguientes direcciones URL de plantilla:

    • (Políticas predeterminadas para las AMI respaldadas por EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (Políticas predeterminadas para las instantáneas de EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    Para--administration-role-arn, especifique el ARN del rol de servicio de IAM que creó anteriormente para el administrador del conjunto de pilas.

    Para--execution-role-name, especifique el nombre del rol de servicio de IAM que creó en las cuentas de destino.

    Para--parameters, especifique la configuración de las políticas predeterminadas. Para ver los parámetros compatibles, las descripciones de los parámetros y los valores válidos, descargue la plantilla mediante la URL y, a continuación, visualice la plantilla con un editor de texto.

    En --auto-deployment, especifique Enabled=true, RetainStacksOnAccountRemoval=true.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--administration-role-arn administrator_role_arn \
--execution-role-name target_account_role \									
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. Implemente el conjunto de pilas. Usa el comando create-stack-instances.

    Para--stack-set-name, especifique el nombre del conjunto de pilas que creó en el paso anterior.

    Para--accounts, especifique los ID de las AWS cuentas de destino.

    Para--regions, especifique las AWS regiones en las que desea habilitar las políticas predeterminadas.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--accounts '["account_ID_1","account_ID_2"]' \
--regions '["region_1", "region_2"]'