アカウントとリージョン間でデフォルトポリシーを有効にする - Amazon EBS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アカウントとリージョン間でデフォルトポリシーを有効にする

を使用すると AWS CloudFormation StackSets、1 回のオペレーションで複数のアカウントと AWS リージョンで Amazon Data Lifecycle Manager のデフォルトポリシーを有効にできます。

スタックセットを使用して、次のいずれかの方法でデフォルトポリシーを有効にできます。

  • AWS 組織全体 — 組織全体または AWS 組織内の特定の組織単位にわたって、デフォルトポリシーが一貫して有効になり、設定されていることを確認します。これは、サービス管理アクセス許可 を使用して行われます。 AWS CloudFormation StackSets は、ユーザーに代わって必要な IAM ロールを作成します。

  • 特定の AWS アカウント全体 — 特定のターゲットアカウント間でデフォルトポリシーが有効で、一貫して設定されていることを確認します。これには、セルフマネージド型のアクセス許可 が必要です。スタックセット管理者アカウントとターゲットアカウント間の信頼関係を確立するために必要な IAM ロールを作成します。

詳細については、「 ユーザーガイド」の「スタックセットのアクセス許可モデルAWS CloudFormation 」を参照してください。

次の手順を使用して、 AWS 組織全体、特定の OUs、または特定のターゲットアカウントで Amazon Data Lifecycle Manager のデフォルトポリシーを有効にします。

前提条件

デフォルトポリシーを有効にする方法に応じて、次のいずれかを実行します。

Console
AWS 組織全体または特定のターゲットアカウントでデフォルトポリシーを有効にするには

  1. https://console.aws.amazon.com/cloudformation で AWS CloudFormation コンソールを開きます。

  2. ナビゲーションペインで、 を選択しStackSetsの作成 StackSetを選択します。

  3. アクセス許可 では、デフォルトポリシーを有効にする方法に応じて、次のいずれかを実行します。

    • ( AWS 組織全体) サービス管理アクセス許可 を選択します

    • (特定のターゲットアカウント全体) セルフサービスのアクセス許可 を選択します。次に、IAM 管理者ロール ARN に、管理者アカウント用に作成した IAM サービスロールを選択し、IAM 実行ロール名 に、ターゲットアカウントで作成した IAM サービスロールの名前を入力します。

  4. テンプレートを準備する でサンプルテンプレートを使用する を選択します。

  5. サンプルテンプレート では、次のいずれかを実行します。

    • (EBS スナップショットのデフォルトポリシー) EBS スナップショットの Amazon Data Lifecycle Manager デフォルトポリシーの作成を選択します。

    • (EBS-backed AMIsのデフォルトポリシー ) EBS-backed AMIs の Amazon Data Lifecycle Manager デフォルトポリシーの作成 を選択します。

  6. [次へ] をクリックします。

  7. StackSet 名前StackSet 説明 には、わかりやすい名前と簡単な説明を入力します。

  8. パラメータセクションで、必要に応じてデフォルトのポリシー設定を構成します。

    注記

    重要なワークロードの場合、 CreateInterval = 1 日RetainInterval = 7 日をお勧めします

  9. [次へ] をクリックします。

  10. (オプション) タグ で、 および スタックリソースを識別するのに役立つタグを指定します。 StackSet

  11. マネージド実行 でアクティブ を選択します。

  12. [次へ] をクリックします。

  13. [Add stacks to stack set] (スタックセットにスタックを追加) で、[Deploy new stacks] (新しいスタックのデプロイ) を選択します。

  14. デフォルトポリシーを有効にする方法に応じて、次のいずれかを実行します。

    • ( AWS 組織全体) デプロイターゲットでは、次のいずれかのオプションを選択します。

      • AWS 組織全体にデプロイするには、組織 にデプロイ を選択します。

      • 特定の組織単位 (OU) にデプロイするには、組織単位 にデプロイを選択し、OU ID に OU ID を入力します。追加の OUsを追加するには、別の OU を追加する を選択します。

    • (特定のターゲットアカウント全体) アカウント では、次のいずれかを実行します。

      • 特定のターゲットアカウントにデプロイするには、アカウント にスタックをデプロイを選択し、アカウント番号 にターゲットアカウントの IDs を入力します。

      • 特定の OU 内のすべてのアカウントにデプロイするには、組織単位 内のすべてのアカウントにスタックをデプロイ を選択し、組織番号 にターゲット OU の ID を入力します。

  15. 自動デプロイ でアクティブ化された を選択します。

  16. アカウント削除動作 でスタックを保持 を選択します。

  17. リージョンを指定 で、デフォルトポリシーを有効にする特定のリージョンを選択するか、すべてのリージョンを追加 を選択してすべてのリージョンでデフォルトポリシーを有効にします。

  18. [次へ] をクリックします。

  19. スタックセットの設定を確認し、IAM リソース を作成する AWS CloudFormation 可能性があることを確認 を選択し、送信 を選択します。

AWS CLI
AWS 組織全体でデフォルトポリシーを有効にするには

  1. スタックセットを作成します。 create-stack-set コマンドを使用します。

    --permission-model の場合、SERVICE_MANAGED を指定します。

    には--template-url、次のいずれかのテンプレート URLsを指定します。

    • (EBS-backed AMIs のデフォルトポリシー) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (EBS スナップショットのデフォルトポリシー) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    には--parameters、デフォルトポリシーの設定を指定します。サポートされているパラメータ、パラメータの説明、有効な値については、URL を使用してテンプレートをダウンロードし、テキストエディタを使用してテンプレートを表示します。

    --auto-deployment の場合、Enabled=true, RetainStacksOnAccountRemoval=true を指定します。

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--permission-model SERVICE_MANAGED \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. スタックセットをデプロイします。 create-stack-instances コマンドを使用します。

    には--stack-set-name、前のステップで作成したスタックセットの名前を指定します。

    には--deployment-targets OrganizationalUnitIds、組織全体にデプロイするルート OU の ID、または組織内の特定の OU にデプロイする OUs IDs を指定します。

    には--regions、デフォルトポリシーを有効にする AWS リージョンを指定します。

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--deployment-targets OrganizationalUnitIds='["root_ou_id"]' | '["ou_id_1", "ou_id_2]' \
--regions '["region_1", "region_2"]'
特定のターゲットアカウントでデフォルトポリシーを有効にするには

  1. スタックセットを作成します。 create-stack-set コマンドを使用します。

    には--template-url、次のいずれかのテンプレート URLsを指定します。

    • (EBS-backed AMIs のデフォルトポリシー) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (EBS スナップショットのデフォルトポリシー) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    には--administration-role-arn、スタックセット管理者用に以前に作成した IAM サービスロールの ARN を指定します。

    には--execution-role-name、ターゲットアカウントで作成した IAM サービスロールの名前を指定します。

    には--parameters、デフォルトポリシーの設定を指定します。サポートされているパラメータ、パラメータの説明、有効な値については、URL を使用してテンプレートをダウンロードし、テキストエディタを使用してテンプレートを表示します。

    --auto-deployment の場合、Enabled=true, RetainStacksOnAccountRemoval=true を指定します。

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--administration-role-arn administrator_role_arn \
--execution-role-name target_account_role \									
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. スタックセットをデプロイします。 create-stack-instances コマンドを使用します。

    には--stack-set-name、前のステップで作成したスタックセットの名前を指定します。

    には--accounts、ターゲット AWS アカウントの IDsを指定します。

    には--regions、デフォルトポリシーを有効にする AWS リージョンを指定します。

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--accounts '["account_ID_1","account_ID_2"]' \
--regions '["region_1", "region_2"]'