Abilita le politiche predefinite per tutti gli account e le regioni - Amazon EBS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilita le politiche predefinite per tutti gli account e le regioni

Utilizzando AWS CloudFormation StackSets, puoi abilitare le policy predefinite di Amazon Data Lifecycle Manager su più account e AWS regioni con un'unica operazione.

Puoi utilizzare i set di stack per abilitare le policy predefinite in uno dei seguenti modi:

  • All'interno di un' AWS organizzazione: garantisce che le politiche predefinite siano abilitate e configurate in modo coerente in un'intera AWS organizzazione o in unità organizzative specifiche di un'organizzazione. Questa operazione viene eseguita utilizzando le autorizzazioni gestite dal servizio. AWS CloudFormation StackSets crea i ruoli IAM richiesti per tuo conto.

  • Su AWS account specifici: garantisce che le politiche predefinite siano abilitate e configurate in modo coerente su account target specifici. Ciò richiede autorizzazioni gestite automaticamente. Crei i ruoli IAM necessari per stabilire la relazione di fiducia tra l'account amministratore dello stack set e gli account di destinazione.

Per ulteriori informazioni, consulta Modelli di autorizzazione per i set di stack nella Guida per l'AWS CloudFormation utente.

Utilizza le seguenti procedure per abilitare le policy predefinite di Amazon Data Lifecycle Manager su un'intera AWS organizzazione, su unità organizzative specifiche o su account di destinazione specifici.

Prerequisiti

Esegui una delle seguenti operazioni, a seconda di come stai abilitando le policy predefinite:

Console
Per abilitare le politiche predefinite all'interno di un' AWS organizzazione o su account di destinazione specifici

  1. Apri la AWS CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation.

  2. Nel riquadro di navigazione, scegli StackSets, quindi scegli Crea StackSet.

  3. Per Autorizzazioni, esegui una delle seguenti operazioni, a seconda di come stai abilitando le politiche predefinite:

    • (All'interno di un' AWS organizzazione) Scegli le autorizzazioni gestite dal servizio.

    • (Per account di destinazione specifici) Scegli le autorizzazioni self-service. Quindi, per il ruolo di amministratore IAM ARN, seleziona il ruolo di servizio IAM che hai creato per l'account amministratore e, per il nome del ruolo di esecuzione IAM, inserisci il nome del ruolo di servizio IAM che hai creato negli account di destinazione.

  4. Per Prepara modello, scegli Usa un modello di esempio.

  5. Per i modelli di esempio, esegui una delle seguenti operazioni:

    • (Policy predefinita per gli snapshot EBS) Seleziona Crea policy predefinite di Amazon Data Lifecycle Manager per gli snapshot EBS.

    • (Criteri predefiniti per le AMI supportate da EBS) Seleziona Crea policy predefinite di Amazon Data Lifecycle Manager per le AMI supportate da EBS.

  6. Seleziona Successivo.

  7. Per StackSet nome e StackSet descrizione, inserisci un nome descrittivo e una breve descrizione.

  8. Nella sezione Parametri, configura le impostazioni dei criteri predefinite in base alle esigenze.

    Nota

    Per carichi di lavoro critici, consigliamo CreateInterval = 1 giorno e RetainInterval = 7 giorni.

  9. Seleziona Successivo.

  10. (Facoltativo) Per i tag, specifica i tag per aiutarti a identificare StackSet e impilare le risorse.

  11. Per Esecuzione gestita, scegli Active.

  12. Seleziona Successivo.

  13. In Add stacks to stack set (Aggiungi stack a un set di stack), scegli Deploy new stacks (Implementa nuovi stack).

  14. Effettuate una delle seguenti operazioni, a seconda di come state abilitando le politiche predefinite:

    • (In tutta AWS l'organizzazione) Per gli obiettivi di distribuzione, scegli una delle seguenti opzioni:

      • Per eseguire la distribuzione in un'intera AWS organizzazione, scegli Distribuisci nell'organizzazione.

      • Per eseguire la distribuzione su unità organizzative (OU) specifiche, scegli Distribuisci su unità organizzative, quindi per ID OU, inserisci l'ID OU. Per aggiungere unità organizzative aggiuntive, scegli Aggiungi un'altra unità organizzativa.

    • (Su account di destinazione specifici) Per gli account, esegui una delle seguenti operazioni:

      • Per eseguire la distribuzione su account di destinazione specifici, scegli Distribuisci pile negli account, quindi, per Numeri di account, inserisci gli ID degli account di destinazione.

      • Per eseguire la distribuzione su tutti gli account di una specifica unità organizzativa, scegli Distribuisci lo stack su tutti gli account di un'unità organizzativa, quindi per i numeri dell'organizzazione, inserisci l'ID dell'unità organizzativa di destinazione.

  15. Per la distribuzione automatica, scegli Attivato.

  16. Per il comportamento di rimozione dell'account, scegli Retain stacks.

  17. Per Specificare le regioni, seleziona regioni specifiche in cui abilitare le politiche predefinite oppure scegli Aggiungi tutte le regioni per abilitare le politiche predefinite in tutte le regioni.

  18. Seleziona Successivo.

  19. Controlla le impostazioni dello stack set, seleziona Riconosco che AWS CloudFormation potrebbe creare risorse IAM, quindi scegli Invia.

AWS CLI
Per abilitare le policy predefinite all'interno di un'organizzazione AWS

  1. Crea lo stack set. Usa il comando create-stack-set.

    Per --permission-model, specificare SERVICE_MANAGED.

    Per--template-url, specifica uno dei seguenti URL del modello:

    • (Politiche predefinite per le AMI supportate da EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (Politiche predefinite per le istantanee EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    Per--parameters, specifica le impostazioni per le politiche predefinite. Per i parametri supportati, le descrizioni dei parametri e i valori validi, scaricate il modello utilizzando l'URL e quindi visualizzatelo utilizzando un editor di testo.

    Per --auto-deployment, specificare Enabled=true, RetainStacksOnAccountRemoval=true.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--permission-model SERVICE_MANAGED \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. Distribuisci lo stack set. Usa il comando create-stack-instances.

    Per--stack-set-name, specifica il nome dello stack set che hai creato nel passaggio precedente.

    Ad --deployment-targets OrganizationalUnitIds esempio, specificare l'ID dell'unità organizzativa principale da distribuire su un'intera organizzazione o gli ID dell'unità organizzativa da distribuire su unità organizzative specifiche dell'organizzazione.

    Per--regions, specificare le AWS regioni in cui abilitare le politiche predefinite.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--deployment-targets OrganizationalUnitIds='["root_ou_id"]' | '["ou_id_1", "ou_id_2]' \
--regions '["region_1", "region_2"]'
Per abilitare le politiche predefinite su account di destinazione specifici

  1. Crea lo stack set. Usa il comando create-stack-set.

    Per--template-url, specifica uno dei seguenti URL del modello:

    • (Politiche predefinite per le AMI supportate da EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (Politiche predefinite per le istantanee EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    Per--administration-role-arn, specifica l'ARN del ruolo di servizio IAM che hai creato in precedenza per l'amministratore dello stack set.

    Per--execution-role-name, specifica il nome del ruolo di servizio IAM che hai creato negli account di destinazione.

    Per--parameters, specifica le impostazioni per le politiche predefinite. Per i parametri supportati, le descrizioni dei parametri e i valori validi, scaricate il modello utilizzando l'URL e quindi visualizzatelo utilizzando un editor di testo.

    Per --auto-deployment, specificare Enabled=true, RetainStacksOnAccountRemoval=true.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--administration-role-arn administrator_role_arn \
--execution-role-name target_account_role \									
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. Distribuisci lo stack set. Usa il comando create-stack-instances.

    Per--stack-set-name, specifica il nome dello stack set che hai creato nel passaggio precedente.

    Per--accounts, specifica gli ID degli AWS account di destinazione.

    Per--regions, specificare le AWS regioni in cui abilitare le politiche predefinite.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--accounts '["account_ID_1","account_ID_2"]' \
--regions '["region_1", "region_2"]'