AWS CloudFormation StackSets dan AWS Organizations - AWS Organizations
Peran tertaut layananPrinsipal layananAktifkan akses terpercayaNonaktifkan akses terpercayaAktifkan administrator yang didelegasikan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS CloudFormation StackSets dan AWS Organizations

AWS CloudFormation StackSets memungkinkan Anda untuk membuat, memperbarui, atau menghapus tumpukan di beberapa Akun AWS dan Wilayah AWS dengan satu operasi. StackSets integrasi dengan AWS Organizations memungkinkan Anda membuat kumpulan tumpukan dengan izin yang dikelola layanan, menggunakan peran terkait layanan yang memiliki izin yang relevan di setiap akun anggota. Ini memungkinkan Anda men-deploy instans tumpukan ke akun anggota di organisasi Anda. Anda tidak perlu membuat AWS Identity and Access Management peran yang diperlukan; StackSets menciptakan IAM peran di setiap akun anggota atas nama Anda.

Anda juga dapat memilih untuk mengaktifkan deployment otomatis ke akun yang ditambahkan ke organisasi Anda di masa mendatang. Dengan penerapan otomatis diaktifkan, peran dan penerapan instance kumpulan tumpukan terkait secara otomatis ditambahkan ke semua akun yang ditambahkan di masa mendatang ke OU tersebut.

Dengan akses tepercaya antara StackSets dan Organizations diaktifkan, akun manajemen memiliki izin untuk membuat dan mengelola kumpulan tumpukan untuk organisasi Anda. Akun manajemen dapat mendaftar hingga lima akun anggota sebagai administrator yang didelegasikan. Dengan akses terpercaya diaktifkan, administrator yang didelegasikan juga memiliki izin untuk membuat dan mengelola set tumpukan untuk organisasi Anda. Set tumpukan dengan izin terkelola layanan dibuat di akun pengelolaan, termasuk set tumpukan yang dibuat oleh administrator yang didelegasikan.

penting

Administrator yang didelegasikan memiliki izin penuh untuk men-deploy ke akun di organisasi Anda. Akun manajemen tidak dapat membatasi izin administrator yang didelegasikan untuk diterapkan ke spesifik OUs atau untuk melakukan operasi set tumpukan tertentu.

Untuk informasi selengkapnya tentang mengintegrasikan StackSets dengan Organizations, lihat Bekerja dengan AWS CloudFormation StackSets di Panduan AWS CloudFormation Pengguna.

Gunakan informasi berikut untuk membantu Anda AWS CloudFormation StackSets berintegrasi AWS Organizations.

Peran tertaut layanan yang dibuat saat Anda mengaktifkan integrasi

Peran tertaut layanan berikut secara otomatis dibuat di akun pengelolaan organisasi Anda bila Anda mengaktifkan akses terpercaya. Peran ini memungkinkan AWS CloudFormation Stacksets untuk melakukan operasi yang didukung dalam akun organisasi Anda di organisasi Anda.

Anda dapat menghapus atau mengubah peran ini hanya jika Anda menonaktifkan akses terpercaya antara Stacksets AWS CloudFormation dan Organizations, atau jika Anda menghapus akun anggota dari organisasi.

  • Akun manajemen: AWSServiceRoleForCloudFormationStackSetsOrgAdmin

Untuk membuat peran terkait layanan AWSServiceRoleForCloudFormationStackSetsOrgMember untuk akun anggota di organisasi Anda, Anda harus membuat kumpulan tumpukan di akun manajemen terlebih dahulu. Ini menciptakan instance stack set, yang kemudian menciptakan peran dalam akun anggota.

  • Akun anggota: AWSServiceRoleForCloudFormationStackSetsOrgMember

Untuk detail selengkapnya tentang membuat kumpulan tumpukan, lihat Bekerja dengan AWS CloudFormation StackSets di Panduan AWS CloudFormation Pengguna.

Prinsipal layanan yang digunakan oleh peran tertaut layanan

Peran tertaut layanan di bagian sebelumnya dapat diambil hanya oleh prinsipal layanan yang diotorisasi oleh hubungan kepercayaan yang ditetapkan untuk peran tersebut. Peran terkait layanan yang digunakan oleh AWS CloudFormation Stacksets memberikan akses ke prinsip layanan berikut:

  • Akun manajemen: stacksets.cloudformation.amazonaws.com

    Anda dapat mengubah atau menghapus peran ini hanya jika Anda menonaktifkan akses tepercaya antara StackSets dan Organizations.

  • Akun anggota: member.org.stacksets.cloudformation.amazonaws.com

    Anda dapat mengubah atau menghapus peran ini dari akun hanya jika Anda pertama kali menonaktifkan akses tepercaya antara StackSets dan Organizations, atau jika Anda pertama kali menghapus akun dari organisasi target atau unit organisasi (OU).

Mengaktifkan akses terpercaya dengan Stacksets AWS CloudFormation

Untuk informasi tentang izin yang diperlukan untuk mengaktifkan akses terpercaya, lihat Izin yang diperlukan untuk mengaktifkan akses terpercaya.

Hanya administrator di akun manajemen Organizations yang memiliki izin untuk mengaktifkan akses tepercaya dengan AWS layanan lain. Anda dapat mengaktifkan akses terpercaya menggunakan konsol AWS CloudFormation atau konsol Organizations.

Anda hanya dapat mengaktifkan akses tepercaya menggunakan AWS CloudFormation StackSets.

Untuk mengaktifkan akses tepercaya menggunakan konsol AWS CloudFormation Stacksets, lihat Mengaktifkan Akses Tepercaya dengan AWS Organizations di AWS CloudFormation Panduan Pengguna.

Menonaktifkan akses terpercaya dengan Stacksets AWS CloudFormation

Untuk informasi tentang izin yang diperlukan untuk menonaktifkan akses terpercaya, lihat Izin yang diperlukan untuk menonaktifkan akses terpercaya.

Hanya administrator di akun manajemen Organizations yang memiliki izin untuk menonaktifkan akses tepercaya dengan AWS layanan lain. Anda dapat menonaktifkan akses terpercaya hanya dengan menggunakan konsol Organizations. Jika Anda menonaktifkan akses tepercaya dengan Organizations saat Anda menggunakan StackSets, semua instance tumpukan yang dibuat sebelumnya akan dipertahankan. Namun, set tumpukan yang dideploy menggunakan izin peran terkait layanan tidak dapat lagi melakukan deployment ke akun yang dikelola oleh Organizations.

Anda dapat menonaktifkan akses tepercaya menggunakan AWS CloudFormation konsol atau konsol Organizations.

penting

Jika Anda menonaktifkan akses tepercaya secara terprogram (misalnya dengan AWS CLI atau denganAPI), ketahuilah bahwa ini akan menghapus izin. Lebih baik menonaktifkan akses tepercaya dengan AWS CloudFormation konsol.

Anda dapat menonaktifkan akses tepercaya dengan menggunakan AWS Organizations konsol, dengan menjalankan AWS CLI perintah Organizations, atau dengan memanggil API operasi Organizations di salah satu AWS SDKs.

AWS Management Console
Untuk menonaktifkan akses layanan terpercaya menggunakan konsol Organizations

  1. Masuk ke konsol AWS Organizations tersebut. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pada panel navigasi, silakan pilih Layanan.

  3. Pilih AWS CloudFormation StackSetsdalam daftar layanan.

  4. Pilih Menonaktifkan akses terpercaya.

  5. Di kotak AWS CloudFormation StackSets dialog Nonaktifkan akses tepercaya untuk, ketik nonaktifkan untuk mengonfirmasi, lalu pilih Nonaktifkan akses tepercaya.

  6. Jika Anda hanya administrator AWS Organizations, beri tahu administrator AWS CloudFormation StackSets bahwa mereka sekarang dapat menonaktifkan layanan itu agar tidak bekerja dengan AWS Organizations menggunakan konsol layanan atau alat.

AWS CLI, AWS API
Untuk menonaktifkan akses layanan tepercaya menggunakan OrganizationsCLI/SDK

Anda dapat menggunakan AWS CLI perintah atau API operasi berikut untuk menonaktifkan akses layanan tepercaya:

  • AWS CLI: disable-aws-service-access

    Jalankan perintah berikut untuk menonaktifkan AWS CloudFormation StackSets sebagai layanan tepercaya dengan Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal stacksets.cloudformation.amazonaws.com

    Perintah ini tidak menghasilkan output saat berhasil.

  • AWS API: D isableAWSService Akses

Mengaktifkan akun administrator yang didelegasikan untuk Stacksets AWS CloudFormation

Bila Anda menetapkan akun anggota sebagai administrator yang didelegasikan untuk organisasi, pengguna dan peran dari akun tersebut dapat melakukan tindakan administratif untuk Stacksets AWS CloudFormation yang jika tidak dapat dilakukan hanya oleh pengguna atau peran dalam akun pengelolaan organisasi. Ini membantu Anda memisahkan manajemen organisasi dari manajemen AWS CloudFormation Stacksets.

Untuk petunjuk tentang cara menetapkan akun anggota sebagai administrator yang didelegasikan Stacksets AWS CloudFormation dalam organisasi, lihat Daftarkan administrator yang didelegasikan di Panduan Pengguna AWS CloudFormation .