Gérez les piles entre les comptes et les régions avec StackSets - AWS CloudFormation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérez les piles entre les comptes et les régions avec StackSets

AWS CloudFormation StackSets étend les fonctionnalités des piles en vous permettant de créer, de mettre à jour ou de supprimer des piles sur plusieurs comptes et en Régions AWS une seule opération. À l'aide d'un compte administrateur, vous définissez et gérez un CloudFormation modèle, et vous l'utilisez comme base pour provisionner des piles dans des comptes cibles sélectionnés sur des comptes spécifiques. Régions AWS

Un stack set est un ensemble de ressources dans un modèle, déployé sur plusieurs comptes et régions.

Pour plus d'informations sur le support StackSets régional, consultez le support StackSets régional.

Cette section vous aide à commencer à utiliser StackSets et répond aux questions les plus fréquemment posées sur la manière d'utiliser et de résoudre les problèmes liés à la création, à la mise à jour et à la suppression d'ensembles de piles.

StackSets concepts

Lorsque vous utilisez StackSets, vous travaillez avec des ensembles de piles, des instances de pile et des piles.

Comptes d'administrateur et comptes de destination

Un compte administrateur est le AWS compte dans lequel vous créez des ensembles de piles. Pour les ensembles de piles avec des autorisations gérées par le service, le compte d'administrateur est le compte de gestion de l'organisation ou un compte d'administrateur délégué. Vous pouvez gérer un ensemble de piles en vous connectant au compte AWS administrateur qui a créé le jeu de piles.

Le compte de destination est le compte dans lequel vous créez, mettez à jour ou supprimez une ou plusieurs piles de votre ensemble de piles. Avant de pouvoir utiliser un ensemble de piles pour créer des piles dans un compte de cible, configurez une relation d'approbation entre l'administrateur et les comptes cibles.

AWS CloudFormation StackSets

Un ensemble de piles vous permet de créer des piles dans Comptes AWS différentes régions à l'aide d'un seul CloudFormation modèle. Le CloudFormation modèle d'un ensemble de piles définit toutes les ressources de chaque pile. Au fur et à mesure que vous créez l'ensemble de piles, spécifiez le modèle à utiliser, ainsi que les paramètres et les fonctionnalités dont a besoin ce modèle.

Après avoir défini un ensemble de piles, vous pouvez créer, mettre à jour ou supprimer des piles dans les comptes cibles et Régions AWS vous pouvez le spécifier. Lorsque vous créez, mettez à jour ou supprimez des piles, vous pouvez également spécifier des préférences d'opération. Par exemple, incluez l'ordre des régions dans lesquelles vous souhaitez effectuer l'opération, le seuil de tolérance aux échecs avant l'arrêt des opérations de pile et le nombre de comptes effectuant des opérations de pile simultanément.

Un ensemble de piles est une ressource régionale. Si vous créez un ensemble de piles dans une région Région AWS, vous ne pouvez le voir ou le modifier que lorsque vous visualisez cette région.

Modèles d'autorisation pour les ensembles de piles

Vous pouvez créer les ensembles de piles à l'aide d'autorisations autogérées ou d'autorisations gérées par le service.

Grâce aux autorisations autogérées, vous créez les IAM rôles nécessaires StackSets au déploiement sur plusieurs comptes et régions. Ces rôles sont nécessaires pour établir une relation de confiance entre le compte à partir duquel vous administrez l'ensemble de piles et le compte sur lequel vous déployez des instances de piles. À l'aide de ce modèle d'autorisations, vous StackSets pouvez effectuer un déploiement sur tous ceux Compte AWS dans lesquels vous êtes autorisé à créer un IAM rôle.

Avec les autorisations gérées par le service vous pouvez déployer des instances de piles sur des comptes gérés par AWS Organizations. Grâce à ce modèle d'autorisations, vous n'avez pas à créer les IAM rôles nécessaires ; il StackSets crée les IAM rôles en votre nom. Avec ce modèle, vous pouvez également activer les déploiements automatiques sur les comptes qui seront ajoutés ultérieurement à votre organisation.

AWS Organizations s'intègre à votre environnement CloudFormation et vous aide à le gérer et à le gouverner de manière centralisée à mesure que vous adaptez et développez vos AWS ressources.

Pour plus d'informations sur la création et la gestion d'ensembles de piles avec des autorisations gérées par le service, consultez les sections suivantes :

Instances de piles

Une instance de pile est une référence à une pile d'un compte de destination dans une région. Une instance de pile peut exister sans pile. Par exemple, si la pile n'a pas pu être créée pour une raison ou une autre, l'instance de pile indique le motif de l'échec de la création de la pile. L'instance de pile est associée à un seul ensemble de piles.

La figure suivante montre les relations logiques entre les ensembles de piles, les opérations de pile et les piles. Lorsque vous mettez à jour un ensemble de piles, toutes les instances de piles associées sont mises à jour dans tous les comptes et toutes les régions.

Un ensemble de piles peut créer, mettre à jour ou supprimer des instances de piles et des piles sur plusieurs comptes et régions.

Opérations sur les ensembles de piles

Vous pouvez effectuer les opérations suivantes sur les ensembles de piles :

Créer un ensemble de piles

La création d'un nouvel ensemble de piles implique de spécifier un CloudFormation modèle que vous souhaitez utiliser pour créer des piles, de spécifier les comptes cibles dans lesquels vous souhaitez créer des piles et d'identifier les comptes Régions AWS dans lesquels vous souhaitez déployer des piles dans vos comptes cibles. Un ensemble de piles assure le déploiement cohérent des mêmes ressources de pile, avec les mêmes paramètres, dans tous les comptes de destination spécifiés et dans les régions que vous choisissez.

Mettre un jour un ensemble de piles

Lorsque vous mettez à jour un ensemble de piles, vous envoyez les modifications dans les piles de l'ensemble de piles. Vous pouvez mettre à jour un ensemble de piles de l'une des manières suivantes. Les mises à jour du modèle affectent toujours toutes les piles. Vous ne pouvez pas mettre à jour le modèle de façon sélective pour certaines piles de l'ensemble de piles et pas pour les autres.

  • Modifiez les paramètres existants dans le modèle ou ajoutez de nouvelles ressources, telles que la mise à jour des paramètres d'un service spécifique ou l'ajout de nouvelles EC2 instances Amazon.

  • Remplacez le modèle par un autre modèle.

  • Ajoutez des piles dans les comptes de destination existants ou supplémentaires appartenant aux régions existantes ou aux régions supplémentaires.

Supprimer des piles

Lorsque vous supprimez des piles, vous supprimez chaque pile et toutes les ressources qui lui sont associées des comptes de destination dans les régions que vous spécifiez. Pour supprimer des piles, vous pouvez procéder de différentes façons.

  • Supprimer des piles dans certains comptes de destination tout en laissant les autres piles s'exécuter dans les autres comptes de destination.

  • Supprimer des piles dans certaines régions tout en laissant les piles s'exécuter dans les autres régions.

  • Supprimer des piles dans l'ensemble de piles, mais choisir l'option Retain Stacks (Conserver les piles) afin de les enregistrer pour qu'elles continuent à s'exécuter indépendamment de l'ensemble de piles. Les piles conservées sont gérées dans AWS CloudFormation hors de votre ensemble de piles.

  • Supprimer toutes les piles dans l'ensemble de piles en vue de préparer la suppression de l'ensemble total de piles.

Supprimer l'ensemble de piles

Vous ne pouvez supprimer votre ensemble de piles que s'il ne contient aucune instance de pile.

Options d'opération d'ensemble de piles

Les options décrites dans cette section permettent de contrôler la fréquence et le nombre d'échecs autorisés pour réussir les opérations d'ensemble de piles, et de vous empêcher de perdre des ressources de pile.

Nombre maximal de comptes en parallèle

Ce paramètre, disponible dans les flux de travail de création, de mise à jour et de suppression, permet de spécifier le nombre ou le pourcentage maximal de comptes cibles dans lequel une opération est effectuée simultanément. Un nombre ou pourcentage faible signifie qu'une opération est effectuée dans peu de comptes de destination à la fois. Les opérations sont effectuées dans une seule région à la fois, dans l'ordre spécifié dans la zone Deployment order (Ordre de déploiement). Par exemple, si vous déployez des piles dans 10 comptes cibles dans deux régions et que vous définissez Maximum concurrent accounts (Nombre maximal de comptes en parallèle) sur 50 et By percentage (Par pourcentage), le logiciel déploie les piles dans cinq comptes dans la première région, puis dans les cinq comptes suivants dans la première région, avant de passer à la région suivante et de lancer le déploiement dans les cinq premiers comptes cibles.

Lorsque vous choisissez Par pourcentage, si le pourcentage spécifié ne représente pas un nombre entier de vos comptes spécifiés, CloudFormation arrondissez au chiffre inférieur. Par exemple, si vous déployez des piles sur 10 comptes cibles et que vous définissez le nombre maximal de comptes simultanés à 25 et par pourcentage, CloudFormation arrondissez le nombre de 2,5 piles simultanément (ce qui ne serait pas possible) au déploiement simultané de deux piles.

Notez que ce paramètre vous permet de spécifier la valeur maximale pour les opérations. Pour les déploiements importants, dans certaines circonstances, le nombre réel de comptes traités simultanément peut être inférieur en raison de la limitation de service. La vitesse maximale de déploiement est de 100 instances de pile simultanées par jeu de piles.

Le nombre maximum de comptes simultanés peut dépendre de la valeur de la tolérance aux défaillances en fonction de votre mode de simultanéité. Si votre mode de simultanéité est défini sur Tolérance de défaillance stricte, le nombre maximal de comptes simultanés peut être supérieur d'au plus un au paramètre de tolérance aux défaillances.

Mode simultané

Ce paramètre, disponible dans les flux de travail de création, de mise à jour et de suppression, permet de choisir le comportement du niveau de la simultanéité durant les opérations d'ensemble de piles. Pour de plus amples informations, veuillez consulter Choix du mode simultané à l'aide de la CloudFormation console ou AWS CLI.

Tolérance aux pannes

Ce paramètre, disponible dans les flux de travail de création, de mise à jour et de suppression, vous permet de spécifier le nombre ou le pourcentage maximum d'échecs d'opérations de pile pouvant survenir, par région, au-delà duquel CloudFormation une opération est automatiquement interrompue. Si le nombre ou le pourcentage est faible, l'opération est effectuée sur peu de piles, mais vous pouvez commencer plus rapidement à résoudre les problèmes d'échec des opérations. Par exemple, si vous mettez à jour 10 piles dans 10 comptes de destination dans trois régions, et que vous définissez Failure tolerance (Tolérance aux pannes) sur 20 et By percentage (Par pourcentage), cela signifie que l'opération peut se poursuivre si le nombre d'échecs de mises à jour de pile ne dépasse pas deux échecs. En cas d'échec d'une troisième pile dans la même région, CloudFormation arrête l'opération. Si une pile n'a pas pu être mise à jour dans la première région, l'opération de mise à jour continue dans cette région, puis passe à la région suivante. Si deux piles ne peuvent pas être mises à jour dans la deuxième région, la tolérance d'échec atteint 20 % ; si une troisième pile de la région échoue, CloudFormation arrête l'opération de mise à jour et ne passe pas aux régions suivantes.

Lorsque vous choisissez Par pourcentage, si le pourcentage spécifié ne représente pas un nombre entier de vos cumuls dans chaque région, CloudFormation arrondissez au chiffre inférieur. Par exemple, si vous déployez des piles sur 10 comptes cibles dans trois régions et que vous définissez la tolérance d'échec à 25 et que vous CloudFormation arrondissez en pourcentage d'une tolérance d'échec de 2,5 piles (ce qui ne serait pas possible) à une tolérance d'échec de deux piles par région.

Conserver les piles

Ce paramètre, disponible dans les flux de travail de suppression de pile, vous permet de laisser les piles et leurs ressources s'exécuter même après avoir été supprimées de l'ensemble de piles. Lorsque vous conservez les piles, AWS CloudFormation laisse intactes les piles placées dans des comptes et régions individuels. Les piles sont dissociées de l'ensemble de piles, mais enregistrent la pile et ses ressources. Une fois qu'une opération de suppression de piles est terminée, vous gérez les piles conservées dans CloudFormation le compte cible (et non le compte administrateur) qui a créé les piles.

Region concurrency (Simultanéité de région)

Ce paramètre, disponible dans les processus de création, de mise à jour et de suppression, vous permet de choisir le mode de StackSets déploiement dans les régions.

Séquentiel — Déployez l' StackSets opération dans une région à la fois, comme indiqué dans la case de commande Déploiement par région, à condition que les échecs de déploiement d'une région ne dépassent pas la tolérance d'échec spécifiée. Le déploiement séquentiel est la sélection par défaut.

Parallèle — Déployez les StackSets opérations simultanément dans toutes les régions spécifiées, à condition que les échecs de déploiement d'une région ne dépassent pas la tolérance d'échec spécifiée.

Balises

Pour ajouter des balises lors de la création et la mise à jour de l'ensemble de piles, spécifiez des paires clé-valeur. Les balises servent à trier et filtrer les ressources de l'ensemble de piles pour la facturation et la répartition des coûts. Pour plus d'informations sur l'utilisation des balises AWS, consultez la section Utilisation des balises de répartition des coûts dans le Guide de AWS Billing and Cost Management l'utilisateur. Une fois que vous avez spécifié la paire clé-valeur, choisissez + pour enregistrer la balise. Vous pouvez supprimer des balises que vous n'utilisez plus en sélectionnant le X rouge à droite d'une balise.

Les balises que vous appliquez aux ensembles de piles s'appliquent à toutes les piles et aux ressources créées par vos piles. Vous pouvez également ajouter des balises au niveau de la pile uniquement dans CloudFormation, mais il est possible que ces balises n'apparaissent pas dans. StackSets

Bien qu' StackSets il n'ajoute aucune balise définie par le système, vous ne devez pas commencer le nom des clés d'aucune balise par la chaîne. aws:

StackSets codes de statut

AWS CloudFormation StackSets génère des codes d'état pour les opérations relatives aux ensembles de piles.

Le tableau suivant décrit les codes d'état pour les opérations d'ensemble de piles.

RUNNING

L'opération est actuellement en cours.

SUCCEEDED

L'opération s'est terminée sans dépasser la tolérance aux pannes autorisée pour l'opération.

FAILED

Le nombre de piles sur lesquelles l'opération a échoué a dépassé le seuil de tolérance aux pannes défini par l'utilisateur. La valeur de tolérance aux pannes que vous avez définie pour une opération est appliquée pour chaque région lors de la création et de la mise à jour des piles. Si le nombre de piles en échec dans une région dépasse la valeur de tolérance aux pannes, l'état de l'opération dans la région passe à FAILED. Le statut de l'opération dans son ensemble est également défini surFAILED, et CloudFormation annule l'opération dans toutes les régions restantes.

QUEUED

[Service-managed permissions] Pour les déploiements automatiques nécessitant une séquence d'opérations, l'opération est mise en file d'attente afin d'être exécutée. Par exemple :

  • Le déplacement d'un compte d'une unité organisationnelle (OU1UO) à une autre déclenche un déploiement automatique. OU2 StackSets exécute une opération de suppression pour supprimer l'instance de pile du OU1 compte cible dans la région cible et met en file d'attente une opération de création pour ajouter une instance de pile au OU2 compte cible dans la région cible.

  • L'ajout d'un compte AccountA à une unité d'organisation déclenche un déploiement automatique. StackSets exécute une opération de création pour ajouter une instance de pile AccountA dans la région cible. Si vous ajoutez un autre compte AccountB à l'unité d'organisation alors que cette opération de création est en cours d'exécution, une deuxième opération de création est mise en StackSets file d'attente. Lorsque la première opération de création est terminée, StackSets exécute la deuxième opération de création pour ajouter une instance de pile AccountB dans la région cible.

STOPPING

L'opération est en cours d'arrêt, à la demande de l'utilisateur.

STOPPED

L'opération s'est arrêtée à la demande de l'utilisateur.

Codes d'état de l'instance de pile

AWS CloudFormation StackSets génère des codes d'état pour les instances de pile.

Le tableau suivant décrit les codes d'état pour les instances de pile qu'ils contiennent StackSets.

CURRENT

La pile est à jour avec l'ensemble de piles.

OUTDATED

La pile n'est pas à jour avec l'ensemble de piles pour l'une des raisons suivantes.

INOPERABLE

Une opération DeleteStackInstances a échoué et a laissé la pile dans un état instable. Les piles affichant cet état sont exclues des opérations UpdateStackSet suivantes. Vous devrez peut-être effectuer une opération DeleteStackInstances, avec RetainStacks défini sur true, pour supprimer l'instance de pile, puis supprimer la pile manuellement.

CANCELLED

L'opération dans le compte et la région spécifiés a été annulée. Cela se produit, soit car un utilisateur a arrêté l'opération de l'ensemble de piles, soit parce que la tolérance aux échecs des opérations d'ensemble de piles a été dépassée.

FAILED

Échec de l'opération dans le compte et la région spécifiés. Si l'opération de jeu de piles échoue dans suffisamment de comptes au sein d'une région, la tolérance d'échec de l'opération de jeu de piles dans son ensemble peut être dépassée.

FAILED_IMPORT

L'importation de l'instance de pile dans le compte et la région spécifiés a échoué et a laissé la pile dans un état instable. Une fois les problèmes à l'origine de l'échec résolus, l'opération d'importation peut être réessayée. Si un nombre suffisant d'opérations d'ensembles de piles échouent dans un nombre suffisant de comptes au sein d'une région, la tolérance d'échec pour l'ensemble de l'opération d'ensemble peut être dépassée.

PENDING

L'opération dans le compte et la région spécifiés n'a pas encore démarré.

RUNNING

L'opération dans le compte et la région spécifiés est en cours.

SKIPPED_SUSPENDED_ACCOUNT

L'opération dans le compte et la région spécifiés a été ignorée, car le compte était suspendu au moment de l'opération.

SUCCEEDED

L'opération dans le compte et la région spécifiés s'est déroulée avec succès.