AWS Organizations を使用してスタックセットのための信頼されたアクセスをアクティブ化する - AWS CloudFormation
サービスにリンクされたロール

AWS Organizations を使用してスタックセットのための信頼されたアクセスをアクティブ化する

このトピックには、サービスマネージド許可を使用して、アカウントおよび AWS リージョン 間でデプロイするために StackSets によって必要とされる信頼されたアクセスを AWS Organizations でアクティブ化する方法の手順が記載されています。セルフマネージド許可を使用するには、代わりに「セルフマネージド型のアクセス許可を付与する」を参照してください。

サービスマネージド型のアクセス許可を持つスタックセットを作成する前に、まず次のタスクを実行する必要があります。

  • AWS Organizations ですべての機能を有効にします。一括請求 (コンソリデーティッドビリング) 機能のみが有効になっている場合、サービスマネージド許可を持つスタックセットを作成することはできません。

  • AWS Organizations の信頼されたアクセスをアクティブ化します。信頼されたアクセスをアクティブ化にした後、サービスマネージド許可を持つスタックセットを作成すると、StackSets は組織の管理アカウントとターゲット (メンバー) アカウントに必要な IAM ロールを作成します。

    信頼されたアクセスをアクティブ化すると、管理アカウントと委任された管理者アカウントは、組織のサービスマネージドスタックセットを作成して管理できます。

信頼されたアクセスをアクティブ化するには、管理アカウントの管理者ユーザーである必要があります。管理者ユーザーは、AWS アカウント に対するフルの許可を持つユーザーです。詳細については、「AWS Account Management リファレンスガイド」の「Create an administrator user」を参照してください。管理アカウントのセキュリティを保護するための推奨事項については、「AWS Organizations ユーザーガイド」の「管理アカウントのベストプラクティス」を参照してください。

信頼されたアクセスをアクティブ化するには

  1. 管理アカウントの管理者として AWS にサインインし、https://console.aws.amazon.com/cloudformation で CloudFormation コンソールを開きます。

  2. ナビゲーションペインから [StackSets] を選択します。信頼されたアクセスを非アクティブ化した場合、信頼されたアクセスを有効にするように求めるバナーが表示されます。

    信頼されたアクセスバナーをアクティブ化します。

  3. [信頼されるアクセスのアクティブ化] を選択します。

    次のバナーが表示されると、信頼されたアクセスが正常にアクティブ化になります。

    信頼されたアクセスは正常にバナーをアクティブ化します。
    注記

    [組織アクセスのアクティブ化] は [組織アクセスの有効化] と同じであり、[組織アクセスの非アクティブ化] は [組織アクセスの無効化] と同じです。これらの条件は、マーケティングガイドラインに基づいて更新されました。

信頼されたアクセスを非アクティブ化する方法

「AWS Organizations ユーザーガイド」の 「AWS CloudFormation StackSets と AWS Organizations」を参照してください。

AWS Organizations を使用する信頼されたアクセスを非アクティブ化にする前、委任されたすべての管理者の登録を解除する必要があります。詳細については、「委任された管理者の登録」を参照してください。

注記

コンソールの代わりに API オペレーションを使用して信頼されたアクセスをアクティブ化または非アクティブ化する方法については、次を参照してください:

サービスにリンクされたロール

管理アカウントは、AWSServiceRoleForCloudFormationStackSetsOrgAdmin サービスにリンクされたロールを使用します。AWS Organizations を使用する信頼されたアクセスが非アクティブ化になっている場合のみ、このロールを変更または削除できます。

各ターゲットアカウントは、AWSServiceRoleForCloudFormationStackSetsOrgMember サービスにリンクされたロールを使用します。2 つの条件下 (AWS Organizations を使用する信頼されたアクセスが非アクティブ化されているか、アカウントがターゲット組織または組織単位 (OU) から削除されている場合) でのみ、このロールを変更または削除できます。

詳細については、「AWS Organizations ユーザーガイド」の「AWS CloudFormation StackSets と AWS Organizations」を参照してください。