Buat CloudFormation StackSets dengan izin yang dikelola layanan - AWS CloudFormation
PertimbanganBuat kumpulan tumpukan dengan izin yang dikelola layanan (konsol)Buat kumpulan tumpukan dengan izin yang dikelola layanan ()AWS CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat CloudFormation StackSets dengan izin yang dikelola layanan

Dengan service-managed izin, Anda dapat menerapkan instance tumpukan ke akun yang dikelola oleh AWS Organizations di Wilayah tertentu. Dengan model ini, Anda tidak perlu membuat IAM peran yang diperlukan; StackSets menciptakan IAM peran atas nama Anda. Anda juga dapat mengaktifkan deployment otomatis ke akun yang ditambahkan ke organisasi target atau unit organisasi (OU) di masa mendatang. Dengan penerapan otomatis diaktifkan, StackSets secara otomatis menghapus instance tumpukan dari akun jika dihapus dari organisasi target atau OU. Untuk informasi selengkapnya, lihat Aktifkan akses tepercaya.

Pertimbangan

Sebelum Anda membuat set tumpukan dengan izin yang dikelola layanan, pertimbangkan hal berikut:

  • Set tumpukan dengan izin yang dikelola layanan dibuat di akun manajemen, termasuk set tumpukan yang dibuat oleh administrator yang didelegasikan.

  • Kumpulan tumpukan Anda dapat menargetkan seluruh organisasi atau unit organisasi tertentu (OUs). Jika set tumpukan Anda menargetkan organisasi Anda, itu juga menargetkan semua akun OUs di semua organisasi. Jika tumpukan Anda menetapkan target yang ditentukanOUs, itu juga menargetkan semua akun di dalamnyaOUs.

  • Jika set tumpukan Anda menargetkan OU induk, kumpulan tumpukan juga menargetkan anak mana punOUs.

  • Beberapa set tumpukan dapat menargetkan organisasi atau OU yang sama.

  • Set tumpukan Anda tidak dapat menargetkan akun di luar organisasi Anda.

  • Set tumpukan Anda tidak dapat men-deploy tumpukan nest.

  • StackSets tidak menyebarkan instance tumpukan ke akun manajemen organisasi, meskipun akun manajemen ada di organisasi Anda atau di OU di organisasi Anda.

  • Deployment otomatis diatur pada tingkat set tumpukan. Anda tidak dapat menyesuaikan penerapan otomatis secara selektif untukOUs, akun, atau Wilayah.

  • Izin entitas IAM utama (pengguna, peran, atau grup) yang Anda gunakan untuk masuk ke akun manajemen menentukan apakah Anda berwenang untuk menggunakan. StackSets Misalnya kebijakan IAM yang memberikan izin untuk men-deploy ke organisasi, lihat Batasi operasi set tumpukan berdasarkan Wilayah dan tipe sumber daya.

  • Administrator yang didelegasikan memiliki izin penuh untuk men-deploy ke akun di organisasi Anda. Akun manajemen tidak dapat membatasi izin administrator yang didelegasikan untuk diterapkan ke spesifik OUs atau untuk melakukan operasi set tumpukan tertentu.

Buat kumpulan tumpukan dengan izin yang dikelola layanan (konsol)

  1. Masuk ke AWS Management Console dan buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

  2. Pada bilah navigasi di bagian atas layar, pilih Wilayah AWS yang ingin Anda kelola set tumpukan.

  3. Dari panel navigasi, pilih StackSets.

  4. Dari bagian atas StackSetshalaman, pilih Buat StackSet.

  5. Dalam Izin, pilih Izin yang dikelola layanan.

    catatan

    Jika akses tepercaya dengan AWS Organizations dinonaktifkan, spanduk akan ditampilkan. Akses tepercaya diperlukan untuk membuat atau memperbarui set tumpukan dengan izin yang dikelola layanan. Hanya administrator di akun manajemen organisasi yang memiliki izin untukAktifkan akses tepercaya untuk set tumpukan dengan AWS Organizations.

  6. Di bawah Prasyarat - Siapkan templat, pilih Template sudah siap.

  7. Di bawah Tentukan templat, pilih URL untuk menentukan bucket S3 yang berisi template tumpukan Anda atau unggah file template tumpukan. Lalu, pilih Selanjutnya.

  8. Pada halaman Tentukan StackSet detail, berikan nama untuk kumpulan tumpukan, tentukan parameter apa pun, lalu pilih Berikutnya.

  9. Pada halaman Konfigurasi StackSet opsi, di bawah Tag, tentukan tag apa pun yang akan diterapkan ke sumber daya di tumpukan Anda.

  10. Untuk konfigurasi Eksekusi, pilih Aktif sehingga StackSets melakukan operasi yang tidak bertentangan secara bersamaan dan antrian operasi yang bertentangan. Setelah operasi yang saling bertentangan selesai, StackSets mulai operasi antrian dalam urutan permintaan.

    catatan

    Jika sudah ada operasi yang berjalan atau antrian, StackSets antrian semua operasi yang masuk meskipun tidak bertentangan.

    Anda tidak dapat memodifikasi konfigurasi eksekusi set tumpukan Anda saat ada operasi berjalan atau antrian untuk kumpulan tumpukan itu.

  11. Pilih Berikutnya untuk melanjutkan dan mengaktifkan akses tepercaya jika belum diaktifkan.

  12. Pada halaman Setel opsi penerapan, di bawah target Deployment, lakukan salah satu hal berikut:

    • Untuk menyebarkan ke semua akun di organisasi Anda, pilih Terapkan ke organisasi.

    • Untuk menyebarkan ke semua akun secara spesifikOUs, pilih Terapkan ke unit organisasi () OUs. Pilih Tambahkan OU, dan kemudian tempelkan ID OU target dalam kotak teks. Ulangi untuk setiap OU target baru.

  13. Di bawah Penerapan otomatis, pilih apakah StackSets akan secara otomatis menyebarkan ke akun yang ditambahkan ke organisasi target atau OUs di masa mendatang.

  14. Jika Anda mengaktifkan deployment otomatis, dalam Perilaku penghapusan akun, pilih apakah sumber daya tumpukan dipertahankan atau dihapus ketika akun dihapus dari organisasi atau OU target.

    catatan

    Dengan Pertahankan tumpukan dipilih, instans tumpukan dihapus dari set tumpukan Anda, tetapi tumpukan dan sumber daya yang berhubungan dipertahankan. Sumber daya tetap dalam statusnya saat ini, tetapi tidak akan lagi menjadi bagian dari set tumpukan.

  15. Di bawah Tentukan wilayah, pilih Wilayah tempat Anda ingin menerapkan instance tumpukan.

  16. Untuk Opsi deployment:

    • Untuk akun bersamaan maksimum, konfigurasikan akun bersamaan maksimum sesuai kebutuhan.

    • Untuk toleransi kegagalan, konfigurasikan toleransi kegagalan sesuai kebutuhan.

    • Untuk konkurensi Wilayah, pilih konkurensi wilayah sesuai kebutuhan.

    • Untuk mode Konkurensi, pilih mode konkurensi sesuai kebutuhan.

  17. Pilih Next untuk melanjutkan.

  18. Pada halaman Tinjauan, verifikasi bahwa StackSets akan menyebarkan ke akun yang benar di Wilayah yang benar, lalu pilih Buat StackSet.

    Halaman StackSet detail terbuka. Anda dapat melihat kemajuan dan status pembuatan tumpukan di set tumpukan Anda.

Buat kumpulan tumpukan dengan izin yang dikelola layanan ()AWS CLI

Saat Anda membuat set tumpukan menggunakan AWS CLI, Anda menjalankan dua perintah terpisah. Selama create-stack-set, Anda mengunggah templat Anda, membuat kontainer set tumpukan, dan mengelola deployment otomatis. Selama create-stack-instances, Anda membuat instans tumpukan di akun target tertentu.

Saat bertindak sebagai administrator yang didelegasikan, Anda harus mengatur --call-as opsi untuk DELEGATED_ADMIN setiap kali Anda menjalankan StackSets perintah.

--call-as DELEGATED_ADMIN

Stack set yang dibuat oleh administrator yang didelegasikan dibuat di akun manajemen organisasi.

  1. Gunakan create-stack-setCLIperintah.

    Dalam contoh berikut, kami mengaktifkan penerapan otomatis untuk memungkinkan penyebaran secara otomatis StackSets ke akun yang ditambahkan ke organisasi target atau OUs di masa mendatang. Kami mempertahankan sumber daya tumpukan saat akun dihapus dari organisasi target atau OU. 

    aws cloudformation create-stack-set \
  --stack-set-name my-stackset \
  --template-url https://s3.us-west-2.amazonaws.com/cloudformation-templates-us-west-2/MyApp.template \
  --permission-model SERVICE_MANAGED \
  --auto-deployment Enabled=true,RetainStacksOnAccountRemoval=true
    catatan

    Jika sudah ada operasi yang berjalan atau antrian, StackSets antrian semua operasi yang masuk meskipun tidak bertentangan.

    Anda tidak dapat memodifikasi konfigurasi eksekusi set tumpukan Anda saat ada operasi berjalan atau antrian untuk kumpulan tumpukan itu.

  2. Setelah create-stack-set perintah Anda selesai, jalankan list-stack-setsperintah untuk mengonfirmasi bahwa kumpulan tumpukan Anda telah dibuat. Set tumpukan baru Anda tercantum di hasil.

    aws cloudformation list-stack-sets

    • Jika Anda menyetel --call-as opsi DELEGATED_ADMIN saat masuk ke akun anggota, list-stack-sets mengembalikan semua kumpulan tumpukan dengan izin yang dikelola layanan di akun manajemen organisasi.

    • Jika Anda menyetel --call-as opsi untuk SELF saat masuk ke Anda Akun AWS, list-stack-sets mengembalikan semua set tumpukan yang dikelola sendiri di Anda Akun AWS.

    • Jika Anda menyetel --call-as opsi SELF saat masuk ke akun manajemen organisasi, list-stack-sets mengembalikan semua kumpulan tumpukan di akun manajemen organisasi.

  3. Gunakan create-stack-instancesperintah untuk menambahkan instance tumpukan ke set tumpukan Anda. Untuk --deployment-targets opsi, tentukan ID root organisasi yang akan diterapkan ke semua akun di organisasi Anda, atau tentukan OU IDs untuk diterapkan ke semua akun di akun tersebut. OUs Dalam contoh ini, kami menentukan OUs dengan ou-rcuk-1x5j1lwo dan ou-rcuk-slr5lh0aIDs.

    aws cloudformation create-stack-instances --stack-set-name my-stackset \
  --deployment-targets OrganizationalUnitIds='["ou-rcuk-1x5j1lwo", "ou-rcuk-slr5lh0a"]' \
  --regions '["us-west-2","us-east-1"]'
    penting

    Tunggu sampai operasi selesai sebelum memulai yang lain. Anda hanya dapat menjalankan satu operasi dalam satu waktu.

  4. Menggunakan operation-id yang dikembalikan sebagai bagian dari create-stack-instances output, gunakan yang berikut describe-stack-set-operationperintah untuk memverifikasi bahwa instance tumpukan Anda berhasil dibuat.

    aws cloudformation describe-stack-set-operation \
  --stack-set-name my-awsconfig-stackset \
  --operation-id operation_ID