Crea CloudFormation StackSets con autorizzazioni gestite dal servizio - AWS CloudFormation
ConsiderazioniCrea un set di stack con autorizzazioni gestite dal servizio (console)Crea un set di stack con autorizzazioni gestite dal servizio ()AWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea CloudFormation StackSets con autorizzazioni gestite dal servizio

Con service-managed le autorizzazioni, puoi distribuire istanze stack su account gestiti da regioni specifiche. AWS Organizations Con questo modello, non è necessario creare i IAM ruoli necessari; StackSets crea i ruoli per conto dell'IAMutente. Puoi anche abilitare le distribuzioni automatiche agli account che verranno aggiunti a un'organizzazione o un'unità organizzativa di destinazione in futuro. Con le distribuzioni automatiche abilitate, elimina StackSets automaticamente le istanze dello stack da un account se questo viene rimosso da un'organizzazione o unità organizzativa di destinazione. Per ulteriori informazioni, consulta Attiva l'accesso affidabile.

Considerazioni

Prima di creare un set di stack con autorizzazioni gestite dai servizi, considera quanto segue:

  • I set di stack con le autorizzazioni gestite dai servizi vengono creati nell'account di gestione, inclusi i set di stack creati dagli amministratori delegati.

  • Il set di stack può essere indirizzato all'intera organizzazione o a unità organizzative specifiche (). OUs Se il set di stack è destinato all'organizzazione, si rivolge anche OUs a tutti gli account dell'organizzazione. Se lo stack impostato ha degli obiettivi specificatiOUs, si rivolge anche a tutti gli account che ne fanno parte. OUs

  • Se il set di stack è destinato a un'unità organizzativa principale, il set di stack si rivolge anche a qualsiasi unità secondaria. OUs

  • Più set di stack possono essere destinati alla stessa organizzazione o unità organizzativa.

  • Il set di stack non può essere destinato ad account esterni all'organizzazione.

  • Il set di stack non può distribuire stack nidificati.

  • StackSets non distribuisce istanze stack nell'account di gestione dell'organizzazione, anche se l'account di gestione si trova all'interno dell'organizzazione o in un'unità organizzativa dell'organizzazione.

  • La distribuzione automatica viene impostata a livello di set di stack. Non è possibile modificare le distribuzioni automatiche in modo selettivo perOUs, account o regioni.

  • Le autorizzazioni dell'entità IAM principale (utente, ruolo o gruppo) che utilizzi per accedere all'account di gestione determinano se sei autorizzato a eseguire la distribuzione con. StackSets Per una policy IAM di esempio che concede le autorizzazioni per la distribuzione a un'organizzazione, consulta Limita le operazioni relative ai set di stack in base alla regione e ai tipi di risorse.

  • Gli amministratori delegati dispongono delle autorizzazioni complete per la distribuzione negli account dell'organizzazione. L'account di gestione non può limitare le autorizzazioni degli amministratori delegati per la distribuzione a determinate operazioni OUs o per eseguire specifiche operazioni di stack set.

Crea un set di stack con autorizzazioni gestite dal servizio (console)

  1. Accedi AWS Management Console e apri la console all'indirizzo AWS CloudFormation /cloudformation. https://console.aws.amazon.com

  2. Nella barra di navigazione nella parte superiore dello schermo, scegli il set da Regione AWS cui vuoi gestire lo stack set.

  3. Dal pannello di navigazione, scegli StackSets.

  4. Nella parte superiore della StackSetspagina, scegli Crea StackSet.

  5. In Permissions (Autorizzazioni) scegliere Service-managed permissions (Autorizzazioni gestite dal servizio).

    Nota

    Se l'accesso affidabile con AWS Organizations è disabilitato, viene visualizzato un banner. L'accesso sicuro è necessario per creare o aggiornare un set di stack con autorizzazioni gestite dal servizio. Solo l'amministratore nell'account di gestione dell'organizzazione dispone delle autorizzazioni per Attiva l'accesso affidabile per i set di stack con AWS Organizations.

  6. In Prerequisito: prepara il modello, scegli Il modello è pronto.

  7. In Specificare il modello, scegli di specificare il file URL per il bucket S3 che contiene il tuo modello di stack o di caricare un file di modello di stack. Quindi, seleziona Next (Successivo).

  8. Nella pagina Specificare StackSet i dettagli, fornisci un nome per il set di stack, specifica i parametri e quindi scegli Avanti.

  9. Nella pagina Configura StackSet opzioni, in Tag, specifica i tag da applicare alle risorse dello stack.

  10. Per la configurazione di esecuzione, scegli Active in modo da StackSets eseguire contemporaneamente operazioni non in conflitto e mettere in coda le operazioni in conflitto. Al termine delle operazioni in conflitto, StackSets avvia le operazioni in coda nell'ordine di richiesta.

    Nota

    Se sono già presenti operazioni in esecuzione o in StackSets coda, mette in coda tutte le operazioni in entrata anche se non sono in conflitto.

    Non è possibile modificare la configurazione di esecuzione del set di stack mentre sono presenti operazioni in esecuzione o in coda per quel set di stack.

  11. Scegli Avanti per procedere e attivare l'accesso attendibile, se non è già attivato.

  12. Nella pagina Imposta opzioni di distribuzione, in Obiettivi di distribuzione, esegui una delle seguenti operazioni:

    • Per eseguire la distribuzione su tutti gli account dell'organizzazione, scegli Distribuisci nell'organizzazione.

    • Per eseguire la distribuzione su tutti gli account in modo specificoOUs, scegli Distribuisci su unità organizzative (). OUs Scegliere Add an OU (Aggiungi un'unità organizzativa) e quindi incollare l'ID dell'unità organizzativa di destinazione nella casella di testo. Ripetere per ogni nuova unità organizzativa di destinazione.

  13. In Distribuzione automatica, scegli se StackSets eseguire la distribuzione automatica negli account aggiunti all'organizzazione di destinazione o OUs in futuro.

  14. Se è stata abilitata la distribuzione automatica, in Account removal behavior (Comportamento rimozione account) scegliere se le risorse dello stack vengono mantenute o eliminate quando un account viene rimosso da un'organizzazione o da un'unità organizzativa di destinazione.

    Nota

    Con l'opzione Retain stacks (Mantieni stack) selezionata, le istanze dello stack vengono rimosse dal set di stack, ma gli stack e le relative risorse associate vengono mantenuti. Le risorse rimangono nello stato corrente, ma non faranno più parte del set di stack.

  15. In Specificare le regioni, scegli le regioni in cui desideri distribuire le istanze stack.

  16. Per Deployment options (Opzioni di distribuzione):

    • Per Numero massimo di account simultanei, configura il numero massimo di account simultanei in base alle esigenze.

    • Per Tolleranza agli errori, configura la tolleranza agli errori in base alle esigenze.

    • Per Concorrenza regionale, scegliete la concorrenza regionale in base alle esigenze.

    • Per la modalità Concorrenza, scegliete la modalità di concorrenza in base alle esigenze.

  17. Seleziona Successivo per continuare.

  18. Nella pagina Revisione, verifica che StackSets venga eseguita la distribuzione sugli account corretti nelle regioni corrette, quindi scegli Crea. StackSet

    Si apre la pagina dei StackSet dettagli. Puoi visualizzare l'avanzamento e lo stato della creazione degli stack nel set di stack.

Crea un set di stack con autorizzazioni gestite dal servizio ()AWS CLI

Quando crei set di stack utilizzando AWS CLI, esegui due comandi separati. Durante create-stack-set, si carica il modello, si crea il container del set di stack e si gestiscono le distribuzioni automatiche. Durante create-stack-instances, è possibile creare istanze di stack in specifici account di destinazione.

Quando agite in qualità di amministratore delegato, dovete impostare l'--call-asopzione su DELEGATED_ADMIN ogni volta che eseguite un StackSets comando.

--call-as DELEGATED_ADMIN

I set di stack creati da un amministratore delegato vengono creati nell'account di gestione dell'organizzazione.

  1. Utilizzo dell'create-stack-setCLIcomando.

    Nell'esempio seguente, abilitiamo le distribuzioni automatiche StackSets per consentire la distribuzione automatica agli account aggiunti all'organizzazione di destinazione o in OUs futuro. Vengono mantenute le risorse dello stack quando un account viene rimosso da un'organizzazione o da un'unità organizzativa di destinazione. 

    aws cloudformation create-stack-set \
  --stack-set-name my-stackset \
  --template-url https://s3.us-west-2.amazonaws.com/cloudformation-templates-us-west-2/MyApp.template \
  --permission-model SERVICE_MANAGED \
  --auto-deployment Enabled=true,RetainStacksOnAccountRemoval=true
    Nota

    Se sono già presenti operazioni in esecuzione o in StackSets coda, mette in coda tutte le operazioni in entrata anche se non sono in conflitto.

    Non è possibile modificare la configurazione di esecuzione del set di stack mentre sono presenti operazioni in esecuzione o in coda per quel set di stack.

  2. Al termine del comando, esegui create-stack-set list-stack-setscomando per confermare che il set di stack è stato creato. Il nuovo set di stack viene elencato nei risultati.

    aws cloudformation list-stack-sets

    • Se imposti l'--call-asopzione su DELEGATED_ADMIN mentre sei connesso al tuo account membro, list-stack-sets restituisce tutti i set di stack con autorizzazioni gestite dal servizio nell'account di gestione dell'organizzazione.

    • Se imposti l'--call-asopzione su SELF mentre hai effettuato l'accesso al tuo Account AWS, list-stack-sets restituisce tutti i set di stack autogestiti presenti nel tuo. Account AWS

    • Se imposti l'--call-asopzione su SELF mentre sei connesso all'account di gestione dell'organizzazione, list-stack-sets restituisce tutti i set di stack nell'account di gestione dell'organizzazione.

  3. Utilizzo dell'create-stack-instancescomando per aggiungere istanze di stack al set di stack. Per l'--deployment-targetsopzione, specifica l'ID root dell'organizzazione da distribuire su tutti gli account dell'organizzazione o specifica l'unità organizzativa IDs da distribuire su tutti gli account di tali account. OUs In questo esempio, specifichiamo OUs con ou-rcuk-1x5j1lwo e. ou-rcuk-slr5lh0a IDs

    aws cloudformation create-stack-instances --stack-set-name my-stackset \
  --deployment-targets OrganizationalUnitIds='["ou-rcuk-1x5j1lwo", "ou-rcuk-slr5lh0a"]' \
  --regions '["us-west-2","us-east-1"]'
    Importante

    Attendere che un'operazione sia completata prima di avviarne un'altra. È possibile eseguire soltanto un'operazione alla volta.

  4. Utilizzando operation-id ciò che è stato restituito come parte dell'create-stack-instancesoutput, utilizzare quanto segue describe-stack-set-operationcomando per verificare che le istanze dello stack siano state create correttamente.

    aws cloudformation describe-stack-set-operation \
  --stack-set-name my-awsconfig-stackset \
  --operation-id operation_ID