Mengkonfigurasi gerbang akun target di StackSets - AWS CloudFormation
Persyaratan penyiapanContoh fungsi gating akun Lambda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi gerbang akun target di StackSets

Account gate adalah fitur opsional yang memungkinkan Anda menentukan AWS Lambda fungsi untuk memverifikasi bahwa akun target memenuhi persyaratan tertentu sebelum AWS CloudFormation StackSets memulai operasi stack di akun tersebut. Contoh umum dari gerbang akun adalah memverifikasi bahwa tidak ada CloudWatch alarm yang aktif atau tidak terselesaikan pada akun target. StackSetsmemanggil fungsi setiap kali Anda memulai operasi tumpukan di akun target, dan hanya berlanjut jika fungsi mengembalikan SUCCEEDED kode. Jika fungsi Lambda mengembalikan statusFAILED, StackSets tidak melanjutkan operasi yang Anda minta. Jika Anda tidak memiliki fungsi Lambda gerbang akun yang dikonfigurasi StackSets , lewati pemeriksaan, dan lanjutkan operasi Anda.

Jika akun target Anda menggagalkan pemeriksaan gerbang akun, operasi yang digagalkan akan dihitung terhadap jumlah toleransi kegagalan yang ditentukan atau persentase tumpukan. Untuk informasi lebih lanjut tentang toleransi kegagalan, lihat Opsi operasi set tumpukan.

Account gating hanya tersedia untuk StackSets operasi. Fungsi ini tidak tersedia untuk AWS CloudFormation operasi lain di luar StackSets.

Persyaratan penyiapan

Daftar berikut menjelaskan persyaratan penyiapan untuk gerbang akun.

  • Untuk bekerja dengan fungsionalitas StackSets account gating, fungsi Lambda Anda harus diberi nama. AWSCloudFormationStackSetAccountGate

  • AWSCloudFormationStackSetExecutionRoleMembutuhkan izin untuk menjalankan fungsi Lambda Anda. Tanpa izin ini, StackSets lewati pemeriksaan gerbang akun, dan lanjutkan dengan operasi tumpukan.

  • InvokeFunctionIzin Lambda harus ditambahkan ke akun target agar gerbang akun berfungsi. Kebijakan kepercayaan akun target harus memiliki hubungan kepercayaan dengan akun administrator. Berikut ini adalah contoh pernyataan kebijakan yang memberikan izin InvokeFunction Lambda.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": "*"
        }
    ]
}

Contoh fungsi gating akun Lambda

Contoh AWS CloudFormation template berikut tersedia bagi Anda untuk membuat fungsi Lambda AWSCloudFormationStackSetAccountGate. Untuk informasi selengkapnya tentang cara membuat tumpukan baru menggunakan salah satu templat ini, lihatBuat tumpukan dari CloudFormation konsol.

Lokasi templat

Deskripsi

https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateSucceeded.yml

Membuat tumpukan yang mengimplementasikan fungsi gerbang akun Lambda yang akan mengembalikan status. SUCCEEDED

https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateFailed.yml

Membuat tumpukan yang mengimplementasikan fungsi gerbang akun Lambda yang akan mengembalikan status. FAILED