Organizations を使用してスタックセットのための信頼されたアクセスをアクティブ化する

このトピックには、サービスマネージド許可を使用して、アカウントおよび AWS リージョン間でデプロイするために StackSets によって必要とされる信頼されたアクセスを AWS Organizations でアクティブ化する方法の手順が記載されています。セルフマネージド許可を使用するには、代わりに「セルフマネージド型のアクセス許可を付与する」を参照してください。

サービスマネージド型のアクセス許可を持つスタックセットを作成する前に、まず次のタスクを実行する必要があります。

AWS Organizations ですべての機能を有効にします。一括請求 (コンソリデーティッドビリング) 機能のみが有効になっている場合、サービス管理アクセス許可を持つスタックセットを作成することはできません。
AWS Organizations の信頼されたアクセスをアクティブ化します。信頼されたアクセスをアクティブ化にした後、サービスマネージド許可を持つスタックセットを作成すると、StackSets は組織の管理アカウントとターゲット (メンバー) アカウントに必要な IAM ロールを作成します。

注記
管理アカウントで作成された IAM サービスリンクロールには、サフィックス CloudFormationStackSetsOrgAdmin が付いています。AWS Organizations を使用する信頼されたアクセスが非アクティブ化になっている場合のみ、このロールを変更または削除できます。各ターゲットアカウントで作成された IAM サービスリンクロールには、サフィックス CloudFormationStackSetsOrgMember が付きます。AWS Organizations を使用する信頼されたアクセスが非アクティブ化になっているか、アカウントがターゲット組織または組織単位(OU)から削除されている場合のみ、このロールを変更または削除できます。

管理アカウントのアカウント管理者のみ、信頼されたアクセスをアクティブ化する許可があります。管理者ユーザーは、AWS アカウントに対する完全なアクセス許可を持つ IAM ユーザーです。詳細については、「IAM ユーザーガイド」の「IAM best practices」(IAM のベストプラクティス) および「Creating your first IAM admin user and group」(最初の IAM 管理者のユーザーおよびグループの作成) を参照してください。

信頼されたアクセスをアクティブ化すると、管理アカウントと委任された管理者アカウントは、組織のサービスマネージドスタックセットを作成して管理できます。

[StackSet の作成] ウィザードで信頼されたアクセスをアクティブ化する方法

「サービスマネージド型のアクセス許可を持つスタックセットの作成」を参照してください。

AWS CloudFormation コンソールを使用して信頼されたアクセスをアクティブ化する方法

管理アカウントの管理者として AWS にサインインし、 https://console.aws.amazon.com/ で AWS CloudFormation コンソールを開きます。
ナビゲーションペインから [StackSets] を選択します。信頼されたアクセスを非アクティブ化した場合、信頼されたアクセスを有効にするように求めるバナーが表示されます。
[信頼されるアクセスのアクティブ化] を選択します。

次のバナーが表示されると、信頼されたアクセスが正常にアクティブ化になります。

注記
[組織アクセスのアクティブ化] は [組織アクセスの有効化] と同じであり、[組織アクセスの非アクティブ化] は [組織アクセスの無効化] と同じです。これらの条件は、マーケティングガイドラインに基づいて更新されました。