Créez un ensemble de piles à l'aide de la CloudFormation console ou AWS CLI - AWS CloudFormation
Créer un ensemble de piles avec des autorisations autogéréesCréer un ensemble de piles avec des autorisations gérées par le service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un ensemble de piles à l'aide de la CloudFormation console ou AWS CLI

Vous pouvez créer un ensemble de piles à l'aide de la CloudFormation console ou à l'aide des CloudFormation commandes du AWS CLI. Vous pouvez créer un ensemble de piles avec les autorisations self-managed ou service-managed.

Créer un ensemble de piles avec des autorisations autogérées

Avec self-managed les autorisations, vous pouvez déployer des instances de stack Comptes AWS dans des régions spécifiques. Pour ce faire, vous devez d'abord créer les IAM rôles nécessaires pour établir une relation de confiance entre le compte à partir duquel vous administrez le stack set et le compte sur lequel vous déployez des instances de stack. Pour de plus amples informations, veuillez consulter Accorder des autorisations autogérées.

Note

Avant d'effectuer l'une des procédures suivantes, vérifiez que AWSCloudFormationStackSetExecutionRole les IAM rôles AWSCloudFormationStackSetAdministrationRole existent dans votre compte administrateur. Pour lancer des stacks dans des comptes autres que votre compte administrateur, vérifiez que le IAM rôle AWSCloudFormationStackSetExecutionRole existe dans les comptes cibles.

Créez un ensemble de piles avec des autorisations autogérées à l'aide de la console CloudFormation

  1. Connectez-vous à la AWS CloudFormation console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Dans la barre de navigation en haut de l'écran, choisissez Région AWS celui à partir duquel vous souhaitez gérer l'ensemble de piles.

  3. Dans le volet de navigation, choisissez StackSets.

  4. En haut de la StackSetspage, choisissez Create StackSet.

  5. Ignorez les autorisations pour utiliser les IAM rôles nommés AWSCloudFormationStackSetExecutionRole et AWSCloudFormationStackSetAdministrationRole que vous avez créés précédemment.

  6. Sous Prerequisite - Prepare template (Prérequis - Préparer le modèle), choisissez Use a sample template (Utiliser un exemple de modèle).

  7. Sous Sélectionnez un exemple de modèle, dans le menu déroulant, sélectionnez Activer le AWS Config modèle. Sélectionnez Suivant.

  8. Sur la page Spécifier StackSet les détails, dans StackSet le champ Nom, saisissez le nom de l'ensemble de piles. Les noms des ensembles de piles doivent commencer par un caractère alphabétique et ne contenir que des lettres, des chiffres et des tirets. Dans cette procédure, nous utiliserons le nom my-awsconfig-stackset.

  9. Pour la StackSet description, fournissez une description de l'ensemble de piles.

  10. Pour les paramètres, passez en revue les paramètres du modèle utilisés par AWS Config.

    Note

    Dans le cadre de cette procédure pas à pas, vous pouvez utiliser les paramètres par défaut de cette section.

    1. Pour la configuration de l'enregistreur, vérifiez les valeurs par défaut. Pour plus d'informations sur ces paramètres, consultez la section Configuration AWS Config avec la console dans le Guide du AWS Config développeur.

    2. (Facultatif) Pour la configuration du canal de diffusion, vérifiez les valeurs par défaut du canal de diffusion pour les mises à jour et les notifications. Pour plus d'informations sur le canal de diffusion dans AWS Config, consultez la section Gestion du canal de diffusion dans le Guide du AWS Config développeur.

    3. (Facultatif) Pour les notifications de livraison, vérifiez la configuration par défaut des notifications Amazon Simple Notification Service (SNS).

  11. Choisissez Next (Suivant) pour continuer.

  12. Sur la page StackSet des options de configuration, ajoutez une balise en spécifiant une paire clé/valeur. Dans cette procédure, nous créons une balise appelée Stage, avec une valeur Test. Les balises que vous appliquez aux ensembles de piles sont appliquées à toutes les ressources qui sont créées par vos piles. Pour plus d'informations sur la façon dont les balises sont utilisées AWS, consultez la section Organisation et suivi des coûts à l'aide des balises de répartition des AWS coûts dans le Guide de AWS Billing and Cost Management l'utilisateur.

  13. Pour la configuration de l'exécution, choisissez Active afin d'effectuer simultanément des opérations StackSets non conflictuelles et de mettre en file d'attente les opérations contradictoires. Une fois les opérations conflictuelles terminées, StackSets démarre les opérations en file d'attente dans l'ordre des demandes.

    Note

    Si des opérations sont déjà en cours ou mises en file d'attente, met en StackSets file d'attente toutes les opérations entrantes, même si elles ne sont pas conflictuelles.

    Vous ne pouvez pas modifier la configuration d'exécution de votre ensemble de piles pendant que des opérations sont en cours d'exécution ou en file d'attente pour cet ensemble de piles.

  14. Si votre modèle contient des IAM ressources, dans Fonctionnalités, sélectionnez Je reconnais que ce modèle peut créer IAM des ressources pour spécifier que vous souhaitez utiliser IAM des ressources dans le modèle. Pour de plus amples informations, veuillez consulter Confirmation des ressources IAM dans les modèles CloudFormation.

  15. Choisissez Suivant.

  16. Sur la page Définir les options de déploiement, pour Ajouter des piles à un ensemble de piles, choisissez Déployer de nouvelles piles.

  17. Pour Accounts (Comptes), choisissez Deploy stacks in accounts (Déployer des piles dans des comptes). Collez vos Compte AWS numéros cibles dans la zone de texte, en séparant les numéros multiples par des virgules.

  18. Pour Specify regions (Spécifier des régions), choisissez Région USA Est (Virginie du N.). Répétez l'opération pour la région Région USA Ouest (Oregon). Cliquez sur la flèche vers le haut en regard de Région USA Ouest (Oregon) pour la placer en tête de liste. L'ordre des régions sous Specify regions (Spécifier des régions) détermine l'ordre de leur déploiement.

    Par défaut, déploie CloudFormation les piles dans les comptes spécifiés au sein de la première région, puis passe à la suivante, et ainsi de suite, tant que les échecs de déploiement d'une région ne dépassent pas la tolérance d'échec spécifiée.

  19. Pour Deployment options (Options de déploiement) :

    • Pour Maximum concurrent accounts (Nombre maximal de comptes en parallèle), conservez les valeurs par défaut Number (Nombre) et 1.

      Cela signifie que vous ne CloudFormation déployez votre stack que dans un seul compte à la fois.

    • Pour Failure tolerance (Tolérance aux pannes), conservez les valeurs par défaut Number (Nombre) et 0.

      Cela signifie qu'un déploiement de pile au maximum peut échouer dans l'une des régions que vous avez spécifiées avant d' CloudFormation arrêter le déploiement dans la région actuelle et d'annuler le déploiement dans les régions restantes.

    • Pour la simultanéité des régions, sélectionnez Séquentiel ou Parallèle pour déterminer l'ordre de StackSets déploiement pour les régions spécifiées. Par défaut, Sequential (Séquentiel) est sélectionné.

    • Pour le mode simultané, mettez à jour le mode simultané selon les besoins ou passez à l'étape suivante.

  20. Choisissez Suivant.

  21. Sur la page Vérification, vérifiez vos choix. Pour apporter des modifications, choisissez Modifier dans la section correspondante.

  22. Lorsque vous êtes prêt à créer votre ensemble de piles, choisissez Submit (Soumettre).

    CloudFormation commence à créer votre stack set. Vous pouvez afficher la progression et le statut de la création des piles de votre ensemble de piles dans la page des détails de l'ensemble de piles, qui s'ouvre lorsque vous choisissez Submit (Soumettre).

Créez un ensemble de piles avec des autorisations autogérées à l'aide du AWS CLI

Lorsque vous créez des ensembles de piles à l'aide de AWS CLI commandes, vous exécutez deux commandes distinctes : create-stack-set pour télécharger votre modèle et créer le conteneur de piles, et create-stack-instances pour créer les piles au sein de votre ensemble de piles.

  1. Commencez par exécuter ce qui suit create-stack-setcommande pour télécharger l'exemple de modèle qui active AWS Config. Pour --template-url cette option, indiquez le URL compartiment Amazon S3 dans lequel se trouve votre modèle. Pour cette procédure pas à pas, nous utilisons my-awsconfig-stackset comme valeur de l'--stack-set-nameoption. 

    aws cloudformation create-stack-set \
  --stack-set-name my-awsconfig-stackset \
  --template-url https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSConfig.yml
    Note

    Si des opérations sont déjà en cours ou mises en file d'attente, met en StackSets file d'attente toutes les opérations entrantes, même si elles ne sont pas conflictuelles.

    Vous ne pouvez pas modifier la configuration d'exécution de votre ensemble de piles pendant que des opérations sont en cours d'exécution ou en file d'attente pour cet ensemble de piles.

  2. Une fois votre create-stack-set commande terminée, lancez list-stack-setscommande pour vérifier que votre stack set a été créé. Vous devez voir votre nouvel ensemble de piles dans les résultats.

    aws cloudformation list-stack-sets

  3. Utilisation de la create-stack-instancescommande pour ajouter des instances de pile à votre ensemble de piles. Dans cette procédure pas à pas, nous utilisons us-west-2 et us-east-1 comme valeurs de l'--regionsoption.

    aws cloudformation create-stack-instances \
  --stack-set-name my-awsconfig-stackset \
  --accounts '["account_ID_1","account_ID_2"]' \
  --regions '["us-west-2","us-east-1"]'

    Pour définir vos préférences concernant le mode d' CloudFormation exécution de cette opération d'ensemble de piles, spécifiez l'--operation-preferencesoption, comme dans l'exemple suivant. Dans le cadre de cet exemple, nous utilisons le nombre et non le pourcentage. Pour appliquer des pourcentages au lieu de nombres, utilisez FailureTolerancePercentage ou MaxConcurrentPercentage.

    --operation-preferences FailureToleranceCount=0,MaxConcurrentCount=1
    Note

    La valeur de MaxConcurrentCount dépend de la valeur de FailureToleranceCount. FailureToleranceCount est au maximum supérieur à MaxConcurrentCount.

    Important

    Attendez qu'une opération soit terminée avant d'en commencer une autre. Vous ne pouvez effectuer qu'une seule opération à la fois.

  4. En utilisant le operation-id qui a été renvoyé dans le cadre de la create-stack-instances sortie, utilisez ce qui suit describe-stack-set-operationcommande pour vérifier que vos instances de stack ont été créées avec succès.

    aws cloudformation describe-stack-set-operation \
  --stack-set-name my-awsconfig-stackset \
  --operation-id operation_ID

Créer un ensemble de piles avec des autorisations gérées par le service

Avec service-managed les autorisations, vous pouvez déployer des instances de stack sur des comptes gérés par AWS Organizations des régions spécifiques. Avec ce modèle, vous n'avez pas besoin de créer les IAM rôles nécessaires ; il les StackSets IAM crée en votre nom. Vous pouvez également activer des déploiements automatiques sur des comptes qui seront ajoutés à une organisation cible ou à une unité d'organisation (UO) à l'avenir. Lorsque les déploiements automatiques sont activés, supprime StackSets automatiquement les instances de stack d'un compte si celles-ci sont supprimées d'une organisation ou d'une unité d'organisation cible. Pour de plus amples informations, veuillez consulter Activez un accès sécurisé pour les ensembles de piles avec Organizations.

Considérations lors de la création d'un ensemble de piles avec des autorisations gérées par le service

Avant de créer un ensemble de piles avec des autorisations gérées par le service, tenez compte des points suivants :

  • Les ensembles de piles dotés d'autorisations gérées par le service sont créés dans le compte de gestion, y compris les ensembles de piles créés par des administrateurs délégués.

  • Votre stack set peut cibler l'ensemble de votre organisation ou des unités organisationnelles spécifiques (OUs). Si votre stack set cible votre organisation, il cible également tous les comptes OUs de l'organisation. Si votre stack définit des cibles spécifiéesOUs, elle cible également tous les comptes qui s'y trouventOUs.

  • Si votre ensemble de piles cible une unité d'organisation parent, il cible également n'importe quel enfantOUs.

  • Plusieurs ensembles de piles peuvent cibler la même organisation ou UO.

  • Votre ensemble de piles ne peut pas cibler les comptes en dehors de votre organisation.

  • Votre ensemble de piles ne peut pas déployer des piles imbriquées.

  • StackSets ne déploie pas d'instances de pile sur le compte de gestion de l'organisation, même si le compte de gestion se trouve dans votre organisation ou dans une unité d'organisation de votre organisation.

  • Le déploiement automatique est défini au niveau de l'ensemble de piles. Vous ne pouvez pas ajuster les déploiements automatiques de manière sélective pourOUs, les comptes ou les régions.

  • Les autorisations de l'entité IAM principale (utilisateur, rôle ou groupe) que vous utilisez pour vous connecter au compte de gestion déterminent si vous êtes autorisé à effectuer un déploiement StackSets. Pour un exemple IAM de politique octroyant des autorisations de déploiement au sein d'une organisation, voirExemple de politique qui accorde des autorisations d'ensemble de piles gérées par un service.

  • Les administrateurs délégués disposent des autorisations complètes pour un déploiement dans les comptes de votre organisation. Le compte de gestion ne peut pas limiter les autorisations d'administrateur déléguées pour le déploiement à des opérations spécifiques OUs ou pour effectuer des opérations de stack set spécifiques.

Créez un ensemble de piles avec des autorisations gérées par les services à l'aide de la console CloudFormation

  1. Connectez-vous à la AWS CloudFormation console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Dans la barre de navigation en haut de l'écran, choisissez Région AWS celui à partir duquel vous souhaitez gérer l'ensemble de piles.

  3. Dans le volet de navigation, choisissez StackSets.

  4. En haut de la StackSetspage, choisissez Create StackSet.

  5. Sous Autorisations, choisissez Autorisations gérées par le service.

    Note

    Si l'accès sécurisé avec AWS Organizations est désactivé, une bannière s'affiche. Un accès sécurisé est requis pour créer ou mettre à jour un ensemble de piles avec des autorisations gérées par le service. Seul l'administrateur du compte de gestion de l'organisation dispose des autorisations nécessaires pour Activez un accès sécurisé pour les ensembles de piles avec Organizations.

  6. Sous Prérequis - Préparer le modèle, sélectionnez Le modèle est prêt.

  7. Sous Spécifier le modèle, choisissez de spécifier le URL compartiment S3 qui contient votre modèle de pile ou de télécharger un fichier de modèle de pile. Choisissez Suivant.

  8. Sur la page Spécifier StackSet les détails, donnez un nom à l'ensemble de piles, spécifiez les paramètres éventuels, puis choisissez Next.

  9. Sur la page des StackSet options de configuration, sous Balises, spécifiez les balises à appliquer aux ressources de votre pile.

  10. Pour la configuration de l'exécution, choisissez Active afin d'effectuer simultanément des opérations StackSets non conflictuelles et de mettre en file d'attente les opérations contradictoires. Une fois les opérations conflictuelles terminées, StackSets démarre les opérations en file d'attente dans l'ordre des demandes.

    Note

    Si des opérations sont déjà en cours ou mises en file d'attente, met en StackSets file d'attente toutes les opérations entrantes, même si elles ne sont pas conflictuelles.

    Vous ne pouvez pas modifier la configuration d'exécution de votre ensemble de piles pendant que des opérations sont en cours d'exécution ou en file d'attente pour cet ensemble de piles.

  11. Choisissez Suivant pour continuer et activer l'accès sécurisé si cela n'a pas encore été fait.

  12. Sur la page Définir les options de déploiement, sous Cibles de déploiement, effectuez l'une des opérations suivantes :

    • Pour effectuer le déploiement sur tous les comptes de votre organisation, choisissez Déployer dans l'organisation.

    • Pour effectuer un déploiement sur tous les comptes en particulierOUs, choisissez Déployer vers les unités organisationnelles (OUs). Choisissez Ajouter une UO, puis collez l'ID d'unité d'organisation cible dans la zone de texte. Répétez l'opération pour chaque nouvelle UO cible.

  13. Sous Déploiement automatique, choisissez si StackSets vous souhaitez le déployer automatiquement sur les comptes ajoutés à l'organisation cible ou OUs dans le futur.

  14. Si vous avez activé le déploiement automatique, sous Comportement de suppression de compte, choisissez si les ressources de pile sont conservées ou supprimées lorsqu'un compte est supprimé d'une organisation cible ou d'une UO.

    Note

    Lorsque la fonction Conserver les piles est sélectionnée, les instances de pile sont supprimées de votre ensemble de piles, mais les piles et leurs ressources associées sont conservées. Les ressources restent dans leur état actuel, mais ne feront plus partie de l'ensemble de piles.

  15. Sous Spécifier les régions, choisissez les régions dans lesquelles vous souhaitez déployer des instances de stack.

  16. Pour Deployment options (Options de déploiement) :

    • Pour le nombre maximal de comptes simultanés, configurez le nombre maximal de comptes simultanés selon les besoins.

    • Pour Tolérance aux défaillances, configurez la tolérance aux défaillances selon vos besoins.

    • Pour la simultanéité des régions, choisissez la simultanéité des régions selon vos besoins.

    • Pour le mode simultané, choisissez le mode simultané selon vos besoins.

  17. Choisissez Next (Suivant) pour continuer.

  18. Sur la page de révision, vérifiez qu'il StackSets sera déployé sur les bons comptes dans les bonnes régions, puis choisissez Créer StackSet.

    La page StackSet de détails s'ouvre. Vous pouvez afficher la progression et l'état de la création des piles dans votre ensemble de piles.

Créez un ensemble de piles avec des autorisations gérées par les services à l'aide du AWS CLI

Lorsque vous créez des ensembles de piles à l'aide de AWS CLI, vous exécutez deux commandes distinctes. Pendant create-stack-set, vous chargez votre modèle, créez le conteneur d'ensemble de piles et gérez les déploiements automatiques. Pendant create-stack-instances, vous créez des instances de pile dans des comptes cibles spécifiques.

Lorsque vous agissez en tant qu'administrateur délégué, vous devez définir --call-as cette option à DELEGATED_ADMIN chaque fois que vous exécutez une StackSets commande.

--call-as DELEGATED_ADMIN

Les ensembles de piles sont créés par un administrateur délégué dans le compte de gestion de l'organisation.

  1. Utilisation de la create-stack-setCLIcommande.

    Dans l'exemple suivant, nous activons les déploiements automatiques StackSets pour permettre le déploiement automatique sur des comptes ajoutés à l'organisation cible ou OUs à l'avenir. Nous conservons les ressources de pile lorsqu'un compte est supprimé d'une organisation cible ou d'une UO. 

    aws cloudformation create-stack-set \
  --stack-set-name my-stackset \
  --template-url https://s3.us-west-2.amazonaws.com/cloudformation-templates-us-west-2/MyApp.template \
  --permission-model SERVICE_MANAGED \
  --auto-deployment Enabled=true,RetainStacksOnAccountRemoval=true
    Note

    Si des opérations sont déjà en cours ou mises en file d'attente, met en StackSets file d'attente toutes les opérations entrantes, même si elles ne sont pas conflictuelles.

    Vous ne pouvez pas modifier la configuration d'exécution de votre ensemble de piles pendant que des opérations sont en cours d'exécution ou en file d'attente pour cet ensemble de piles.

  2. Une fois votre create-stack-set commande terminée, lancez list-stack-setscommande pour confirmer que votre stack set a été créé. Votre nouvel ensemble de piles est répertorié dans les résultats.

    aws cloudformation list-stack-sets

    • Si vous définissez l'--call-asoption sur DELEGATED_ADMIN lorsque vous êtes connecté à votre compte membre, tous les ensembles de piles list-stack-sets dotés d'autorisations gérées par les services sont renvoyés dans le compte de gestion de l'organisation.

    • Si vous définissez l'--call-asoption sur SELF alors que vous êtes connecté à votre Compte AWS, list-stack-sets renvoie tous les ensembles de piles autogérés de votre Compte AWS.

    • Si vous définissez l'--call-asoption sur SELF lorsque vous êtes connecté au compte de gestion de l'organisation, list-stack-sets tous les ensembles de piles du compte de gestion de l'organisation sont renvoyés.

  3. Utilisation de la create-stack-instancescommande pour ajouter des instances de pile à votre ensemble de piles. Pour --deployment-targets cette option, spécifiez l'ID racine de l'organisation à déployer sur tous les comptes de votre organisation, ou spécifiez l'unité d'organisation IDs à déployer sur tous les comptes de ces comptesOUs. Dans cet exemple, nous indiquons OUs avec ou-rcuk-1x5j1lwo et ou-rcuk-slr5lh0aIDs.

    aws cloudformation create-stack-instances --stack-set-name my-stackset \
  --deployment-targets OrganizationalUnitIds='["ou-rcuk-1x5j1lwo", "ou-rcuk-slr5lh0a"]' \
  --regions '["us-west-2","us-east-1"]'
    Important

    Attendez qu'une opération soit terminée avant d'en commencer une autre. Vous ne pouvez effectuer qu'une seule opération à la fois.

  4. En utilisant le operation-id qui a été renvoyé dans le cadre de la create-stack-instances sortie, utilisez ce qui suit describe-stack-set-operationcommande pour vérifier que vos instances de stack ont été créées avec succès.

    aws cloudformation describe-stack-set-operation \
  --stack-set-name my-awsconfig-stackset \
  --operation-id operation_ID