Configurations d'installation requises Exemples de fonctions de consignation de compte Lambda

Configuration d'une porte de compte cible dans StackSets

Une porte de compte est une fonctionnalité facultative qui vous permet de spécifier une AWS Lambdafonction permettant de vérifier qu'un compte cible répond à certaines exigences avant de AWS CloudFormation StackSets commencer les opérations de stack sur ce compte. Un exemple courant de portail de compte consiste à vérifier qu'aucune CloudWatch alarme n'est active ou non résolue sur le compte cible. StackSetsinvoque la fonction chaque fois que vous lancez des opérations de stack dans le compte cible, et ne continue que si la fonction renvoie un SUCCEEDED code. Si la fonction Lambda renvoie un statut deFAILED, StackSets elle ne poursuit pas l'opération demandée. Si aucune fonction Lambda de blocage de compte n'est configurée StackSets , ignore la vérification et poursuit l'opération.

Si votre compte de destination échoue à une vérification du portail de compte, l'opération qui a échoué est prise en compte dans le nombre ou le pourcentage de piles spécifié dans la tolérance aux pannes. Pour plus d'informations sur la tolérance aux pannes, consultez Options d'opération d'ensemble de piles.

Le blocage des comptes n'est disponible que pour les StackSets opérations. Cette fonctionnalité n'est pas disponible pour d'autres AWS CloudFormation opérations en dehors de StackSets.

Configurations d'installation requises

La liste suivante décrit la configuration requise pour la consignation de compte.

Pour utiliser la fonctionnalité de StackSets blocage des comptes, votre fonction Lambda doit être nommée. AWSCloudFormationStackSetAccountGate
Il a AWSCloudFormationStackSetExecutionRolebesoin d'autorisations pour appeler votre fonction Lambda. Sans ces autorisations, la vérification StackSets du compte est ignorée et les opérations de stack sont poursuivies.
Pour que la consignation de compte fonctionne, l'autorisation Lambda InvokeFunction doit être ajoutée aux comptes de destination. La politique d'approbation du compte de destination doit avoir une relation d'approbation avec le compte d'administrateur. Voici un exemple de déclaration de politique qui accorde des autorisations Lambda InvokeFunction.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": "*"
        }
    ]
}
```

Exemples de fonctions de consignation de compte Lambda

Les exemples de AWS CloudFormation modèles suivants sont disponibles pour vous permettre de créer des fonctions Lambda AWSCloudFormationStackSetAccountGate. Pour plus d'informations sur la création d'une nouvelle pile à l'aide de l'un de ces modèles, consultezCréation d'une pile à partir de la CloudFormation console.

Emplacement du modèle	Description
https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateSucceeded.yml	Crée une pile qui implémente une fonction de consignation de compte Lambda qui renvoie le statut `SUCCEEDED`.
https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateFailed.yml	Crée une pile qui implémente une fonction de consignation de compte Lambda qui renvoie le statut `FAILED`.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Suppression d'un ensemble de piles

Détection de la dérive des ensembles de piles