Habilitación de políticas predeterminadas de Data Lifecycle Manager en todas las cuentas y regiones - Amazon EBS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación de políticas predeterminadas de Data Lifecycle Manager en todas las cuentas y regiones

Con AWS CloudFormation StackSets él, puede activar las políticas predeterminadas de Amazon Data Lifecycle Manager en varias cuentas y AWS regiones con una sola operación.

Puede utilizar conjuntos de pilas para habilitar políticas predeterminadas de una de las siguientes formas:

  • En toda AWS la organización: garantiza que las políticas predeterminadas estén habilitadas y configuradas de manera uniforme en toda AWS la organización o en unidades organizativas específicas de una organización. Esto se hace mediante permisos gestionados por el servicio. AWS CloudFormation StackSets crea las IAM funciones necesarias en su nombre.

  • En AWS cuentas específicas: garantiza que las políticas predeterminadas estén habilitadas y configuradas de forma coherente en todas las cuentas de destino específicas. Esto requiere permisos autogestionados. Debe crear las IAM funciones necesarias para establecer la relación de confianza entre la cuenta de administrador del conjunto apilado y las cuentas de destino.

Para obtener más información, consulte Modelos de permisos para conjuntos de pilas en la Guía del usuario de AWS CloudFormation .

Utilice los siguientes procedimientos para activar las políticas predeterminadas de Amazon Data Lifecycle Manager en toda AWS la organización, en cuentas específicas OUs o en cuentas de destino específicas.

Requisitos previos

Realice una de las siguientes acciones según cómo vaya a habilitar las políticas predeterminadas:

Console
Para habilitar las políticas predeterminadas en una AWS organización o en cuentas objetivo específicas

  1. Abre la AWS CloudFormation consola en https://console.aws.amazon.com/cloudformation.

  2. En el panel de navegación, selecciona y, a continuación StackSets, selecciona Crear. StackSet

  3. En Permisos, realice una de las siguientes acciones según cómo vaya a habilitar las políticas predeterminadas:

    • (En toda AWS la organización) Elija los permisos administrados por el servicio.

    • (En cuentas de destino específicas) Elija Permisos de autoservicio. A continuación, para la función de IAM administrador ARN, seleccione la función de IAM servicio que creó para la cuenta de administrador y, para el nombre de la función de IAM ejecución, introduzca el nombre de la función de IAM servicio que creó en las cuentas de destino.

  4. En Preparar plantilla, elija Uso de una plantilla de ejemplo.

  5. En Ejemplos de plantilla, realice una de las siguientes acciones:

    • (Política predeterminada para las EBS instantáneas) Seleccione Crear políticas predeterminadas de Amazon Data Lifecycle Manager para las EBS instantáneas.

    • (Política predeterminada para EBS respaldadosAMIs) Seleccione Crear políticas predeterminadas de Amazon Data Lifecycle Manager para respaldados por EBS AMIs -backed.

  6. Elija Next (Siguiente).

  7. Para el StackSet nombre y la StackSet descripción, introduzca un nombre descriptivo y una breve descripción.

  8. En la sección Parámetros, configure los ajustes de política predeterminados según sea necesario.

    nota

    Para cargas de trabajo críticas, recomendamos CreateInterval = 1 día y RetainInterval = 7 días.

  9. Elija Next (Siguiente).

  10. (Opcional) En el caso de las etiquetas, especifique etiquetas que le ayuden a identificar los recursos StackSet y a apilarlos.

  11. En Ejecución gestionada, seleccione Activa.

  12. Elija Next (Siguiente).

  13. En Add stacks to stack set (Agregar pilas al conjunto de pilas), seleccione Deploy new stacks (Implementar pilas nuevas).

  14. Realice una de las siguientes acciones según cómo vaya a habilitar las políticas predeterminadas:

    • (En toda AWS la organización) Para los objetivos de despliegue, elija una de las siguientes opciones:

      • Para realizar la implementación en toda AWS la organización, elija Implementar en la organización.

      • Para realizar la implementación en unidades organizativas (OU) específicas, elija Implementar en unidades organizativas y, a continuación, en ID de OU, introduzca el ID de la OU. Para agregar másOUs, elija Agregar otra unidad organizativa.

    • (En todas las cuentas de destino específicas) En Cuentas, realice una de las siguientes acciones:

      • Para realizar la implementación en cuentas de destino específicas, elija Implementar pilas en las cuentas y, a continuación, en el campo Números de cuenta, introduzca las cuentas IDs de destino.

      • Para realizar la implementación en todas las cuentas de una unidad organizativa específica, seleccione Implementar pila en todas las cuentas de una unidad organizativa y, a continuación, en Números de organización, introduzca el ID de la unidad organizativa de destino.

  15. En Implementación automática, elija Activado.

  16. En Comportamiento deliminación de cuentas, seleccione Retener pilas.

  17. En Especificar regiones, seleccione regiones específicas donde habilitar las políticas predeterminadas o Agregar todas las regiones para habilitar las políticas predeterminadas en todas las regiones.

  18. Elija Next (Siguiente).

  19. Revisa la configuración del conjunto de pilas, selecciona Sé que AWS CloudFormation podría crear IAM recursos y, a continuación, selecciona Enviar.

AWS CLI
Para habilitar las políticas predeterminadas en una AWS organización

  1. Cree el conjunto de pilas. Utilice el create-stack-setcomando.

    En --permission-model, especifique SERVICE_MANAGED.

    Para--template-url, especifique una de las siguientes plantillasURLs:

    • (Políticas predeterminadas para EBS -backed) AMIs https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (Políticas predeterminadas para las EBS instantáneas) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    En --parameters, especifique la configuración de las políticas predeterminadas. Para ver los parámetros compatibles, las descripciones de los parámetros y los valores válidos, descargue la plantilla mediante el URL y, a continuación, visualice la plantilla con un editor de texto.

    En --auto-deployment, especifique Enabled=true, RetainStacksOnAccountRemoval=true.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--permission-model SERVICE_MANAGED \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. Implemente el conjunto de pilas. Utilice el create-stack-instancescomando.

    En --stack-set-name, especifique el nombre del conjunto de pilas que creó en el paso anterior.

    Para ello--deployment-targets OrganizationalUnitIds, especifique el ID de la OU raíz que se va a implementar en toda la organización o de la OU IDs que se va a implementar OUs en una zona específica de la organización.

    Para--regions, especifique las AWS regiones en las que desea habilitar las políticas predeterminadas.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--deployment-targets OrganizationalUnitIds='["root_ou_id"]' | '["ou_id_1", "ou_id_2]' \
--regions '["region_1", "region_2"]'
Cómo habilitar las políticas predeterminadas en cuentas de destino específicas

  1. Cree el conjunto de pilas. Utilice el create-stack-setcomando.

    Para--template-url, especifique una de las siguientes plantillasURLs:

    • (Políticas predeterminadas para EBS -backed) AMIs https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (Políticas predeterminadas para las EBS instantáneas) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    Para--administration-role-arn, especifique la función ARN de IAM servicio que creó anteriormente para el administrador del conjunto de pilas.

    Para--execution-role-name, especifique el nombre del rol de IAM servicio que creó en las cuentas de destino.

    En --parameters, especifique la configuración de las políticas predeterminadas. Para ver los parámetros compatibles, las descripciones de los parámetros y los valores válidos, descargue la plantilla mediante el URL y, a continuación, visualice la plantilla con un editor de texto.

    En --auto-deployment, especifique Enabled=true, RetainStacksOnAccountRemoval=true.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--administration-role-arn administrator_role_arn \
--execution-role-name target_account_role \									
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. Implemente el conjunto de pilas. Utilice el create-stack-instancescomando.

    En --stack-set-name, especifique el nombre del conjunto de pilas que creó en el paso anterior.

    Para--accounts, especifique la IDs de las AWS cuentas de destino.

    Para--regions, especifique las AWS regiones en las que desea habilitar las políticas predeterminadas.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--accounts '["account_ID_1","account_ID_2"]' \
--regions '["region_1", "region_2"]'