Aktifkan kebijakan default di seluruh akun dan Wilayah - Amazon EBS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan kebijakan default di seluruh akun dan Wilayah

Dengan menggunakan AWS CloudFormation StackSets, Anda dapat mengaktifkan kebijakan default Amazon Data Lifecycle Manager di beberapa akun dan AWS Wilayah dengan satu operasi.

Anda dapat menggunakan kumpulan tumpukan untuk mengaktifkan kebijakan default dengan salah satu cara berikut:

  • Di seluruh AWS organisasi — Memastikan bahwa kebijakan default diaktifkan dan dikonfigurasi secara konsisten di seluruh AWS organisasi atau unit organisasi tertentu dalam suatu organisasi. Ini dilakukan dengan menggunakan izin yang dikelola layanan. AWS CloudFormation StackSets membuat peran IAM yang diperlukan atas nama Anda.

  • Di seluruh AWS akun tertentu — Memastikan bahwa kebijakan default diaktifkan dan dikonfigurasi secara konsisten di seluruh akun target tertentu. Ini memerlukan izin yang dikelola sendiri. Anda membuat peran IAM yang diperlukan untuk membangun hubungan kepercayaan antara akun administrator set tumpukan dan akun target.

Untuk informasi selengkapnya, lihat Model izin untuk kumpulan tumpukan di Panduan AWS CloudFormation Pengguna.

Gunakan prosedur berikut untuk mengaktifkan kebijakan default Amazon Data Lifecycle Manager di seluruh AWS organisasi, di seluruh OU tertentu, atau di seluruh akun target tertentu.

Prasyarat

Lakukan salah satu hal berikut, tergantung pada cara Anda mengaktifkan kebijakan default:

Console
Untuk mengaktifkan kebijakan default di seluruh AWS organisasi atau di seluruh akun target tertentu

  1. Buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

  2. Di panel navigasi, pilih StackSets, lalu pilih Buat StackSet.

  3. Untuk Izin, lakukan salah satu hal berikut, tergantung pada cara Anda mengaktifkan kebijakan default:

    • (Di seluruh AWS organisasi) Pilih Izin yang dikelola layanan.

    • (Di seluruh akun target tertentu) Pilih Izin layanan mandiri. Kemudian, untuk peran admin IAM ARN, pilih peran layanan IAM yang Anda buat untuk akun administrator, dan untuk nama peran eksekusi IAM, masukkan nama peran layanan IAM yang Anda buat di akun target.

  4. Untuk Siapkan template, pilih Gunakan contoh template.

  5. Untuk contoh template, lakukan salah satu hal berikut:

    • (Kebijakan default untuk snapshot EBS) Pilih Buat kebijakan default Amazon Data Lifecycle Manager untuk EBS Snapshots.

    • (Kebijakan default untuk AMI yang didukung EBS) Pilih Buat kebijakan default Amazon Data Lifecycle Manager untuk AMI yang didukung EBS.

  6. Pilih Selanjutnya.

  7. Untuk StackSet nama dan StackSet deskripsi, masukkan nama deskriptif dan deskripsi singkat.

  8. Di bagian Parameter, konfigurasikan pengaturan kebijakan default sesuai kebutuhan.

    catatan

    Untuk beban kerja kritis, kami sarankan CreateInterval = 1 hari dan RetainInterval = 7 hari.

  9. Pilih Selanjutnya.

  10. (Opsional) Untuk Tag, tentukan tag untuk membantu Anda mengidentifikasi StackSet dan menumpuk sumber daya.

  11. Untuk eksekusi Terkelola, pilih Aktif.

  12. Pilih Selanjutnya.

  13. Untuk Menambahkan stack ke set stack, pilih Terapkan stack baru.

  14. Lakukan salah satu hal berikut, tergantung pada cara Anda mengaktifkan kebijakan default:

    • (Di seluruh AWS organisasi) Untuk target Deployment pilih salah satu opsi berikut:

      • Untuk menyebarkan di seluruh AWS organisasi, pilih Terapkan ke organisasi.

      • Untuk menyebarkan ke unit organisasi tertentu (OU), pilih Menyebarkan ke unit organisasi, dan kemudian untuk ID OU, masukkan ID OU. Untuk menambahkan OU tambahan, pilih Tambahkan OU lain.

    • (Di seluruh akun target tertentu) Untuk Akun, lakukan salah satu hal berikut:

      • Untuk menyebarkan ke akun target tertentu, pilih Menyebarkan tumpukan di akun, lalu untuk nomor Akun, masukkan ID akun target.

      • Untuk menyebarkan ke semua akun di OU tertentu, pilih Menyebarkan tumpukan ke semua akun di unit organisasi, lalu untuk nomor Organisasi, masukkan ID OU target.

  15. Untuk penyebaran otomatis, pilih Diaktifkan.

  16. Untuk perilaku penghapusan akun, pilih Pertahankan tumpukan.

  17. Untuk Menentukan wilayah, pilih Wilayah tertentu untuk mengaktifkan kebijakan default, atau pilih Tambahkan semua Wilayah untuk mengaktifkan kebijakan default di semua Wilayah.

  18. Pilih Selanjutnya.

  19. Tinjau pengaturan set tumpukan, pilih Saya mengakui yang AWS CloudFormation mungkin membuat sumber daya IAM, lalu pilih Kirim.

AWS CLI
Untuk mengaktifkan kebijakan default di seluruh AWS organisasi

  1. Buat set tumpukan. Gunakan perintah create-stack-set.

    Untuk --permission-model, tentukan SERVICE_MANAGED.

    Untuk--template-url, tentukan salah satu URL template berikut:

    • (Kebijakan default untuk AMI yang didukung EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (Kebijakan default untuk snapshot EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    Untuk--parameters, tentukan pengaturan untuk kebijakan default. Untuk parameter yang didukung, deskripsi parameter, dan nilai yang valid, unduh templat menggunakan URL dan kemudian lihat templat menggunakan editor teks.

    Untuk --auto-deployment, tentukan Enabled=true, RetainStacksOnAccountRemoval=true.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--permission-model SERVICE_MANAGED \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. Menyebarkan set tumpukan. Gunakan perintah create-stack-instance.

    Untuk--stack-set-name, tentukan nama kumpulan tumpukan yang Anda buat pada langkah sebelumnya.

    Untuk--deployment-targets OrganizationalUnitIds, tentukan ID root OU yang akan diterapkan ke seluruh organisasi, atau ID OU untuk diterapkan ke OU tertentu di organisasi.

    Untuk--regions, tentukan AWS Wilayah untuk mengaktifkan kebijakan default.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--deployment-targets OrganizationalUnitIds='["root_ou_id"]' | '["ou_id_1", "ou_id_2]' \
--regions '["region_1", "region_2"]'
Untuk mengaktifkan kebijakan default di seluruh akun target tertentu

  1. Buat set tumpukan. Gunakan perintah create-stack-set.

    Untuk--template-url, tentukan salah satu URL template berikut:

    • (Kebijakan default untuk AMI yang didukung EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (Kebijakan default untuk snapshot EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    Untuk--administration-role-arn, tentukan ARN dari peran layanan IAM yang sebelumnya Anda buat untuk administrator kumpulan tumpukan.

    Untuk--execution-role-name, tentukan nama peran layanan IAM yang Anda buat di akun target.

    Untuk--parameters, tentukan pengaturan untuk kebijakan default. Untuk parameter yang didukung, deskripsi parameter, dan nilai yang valid, unduh templat menggunakan URL dan kemudian lihat templat menggunakan editor teks.

    Untuk --auto-deployment, tentukan Enabled=true, RetainStacksOnAccountRemoval=true.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--administration-role-arn administrator_role_arn \
--execution-role-name target_account_role \									
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. Menyebarkan set tumpukan. Gunakan perintah create-stack-instance.

    Untuk--stack-set-name, tentukan nama kumpulan tumpukan yang Anda buat pada langkah sebelumnya.

    Untuk--accounts, tentukan ID AWS akun target.

    Untuk--regions, tentukan AWS Wilayah untuk mengaktifkan kebijakan default.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--accounts '["account_ID_1","account_ID_2"]' \
--regions '["region_1", "region_2"]'