翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アカウントとリージョン間でデフォルトポリシーを有効にする
を使用すると AWS CloudFormation StackSets、1 回のオペレーションで複数のアカウントと AWS リージョンで Amazon Data Lifecycle Manager のデフォルトポリシーを有効にできます。
スタックセットを使用して、次のいずれかの方法でデフォルトポリシーを有効にできます。
-
AWS 組織全体 — 組織全体または AWS 組織内の特定の組織単位にわたって、デフォルトポリシーが一貫して有効になり、設定されていることを確認します。これは、サービス管理アクセス許可 を使用して行われます。 AWS CloudFormation StackSets は、ユーザーに代わって必要な IAM ロールを作成します。
-
特定の AWS アカウント全体 — 特定のターゲットアカウント間でデフォルトポリシーが有効で、一貫して設定されていることを確認します。これには、セルフマネージド型のアクセス許可 が必要です。スタックセット管理者アカウントとターゲットアカウント間の信頼関係を確立するために必要な IAM ロールを作成します。
詳細については、「 ユーザーガイド」の「スタックセットのアクセス許可モデルAWS CloudFormation 」を参照してください。
次の手順を使用して、 AWS 組織全体、特定の OUs、または特定のターゲットアカウントで Amazon Data Lifecycle Manager のデフォルトポリシーを有効にします。
前提条件
デフォルトポリシーを有効にする方法に応じて、次のいずれかを実行します。
- Console
-
AWS 組織全体または特定のターゲットアカウントでデフォルトポリシーを有効にするには
-
https://console.aws.amazon.com/cloudformation で AWS CloudFormation コンソールを開きます。
-
ナビゲーションペインで、 を選択しStackSets、 の作成 StackSetを選択します。
-
アクセス許可 では、デフォルトポリシーを有効にする方法に応じて、次のいずれかを実行します。
-
テンプレートを準備する で、サンプルテンプレートを使用する を選択します。
-
サンプルテンプレート では、次のいずれかを実行します。
-
[次へ] をクリックします。
-
StackSet 名前とStackSet 説明 には、わかりやすい名前と簡単な説明を入力します。
-
パラメータセクションで、必要に応じてデフォルトのポリシー設定を構成します。
重要なワークロードの場合、 CreateInterval = 1 日、 RetainInterval = 7 日をお勧めします。
-
[次へ] をクリックします。
-
(オプション) タグ で、 および スタックリソースを識別するのに役立つタグを指定します。 StackSet
-
マネージド実行 で、アクティブ を選択します。
-
[次へ] をクリックします。
-
[Add stacks to stack set] (スタックセットにスタックを追加) で、[Deploy new stacks] (新しいスタックのデプロイ) を選択します。
-
デフォルトポリシーを有効にする方法に応じて、次のいずれかを実行します。
-
自動デプロイ で、アクティブ化された を選択します。
-
アカウント削除動作 で、スタックを保持 を選択します。
-
リージョンを指定 で、デフォルトポリシーを有効にする特定のリージョンを選択するか、すべてのリージョンを追加 を選択してすべてのリージョンでデフォルトポリシーを有効にします。
-
[次へ] をクリックします。
-
スタックセットの設定を確認し、IAM リソース を作成する AWS CloudFormation 可能性があることを確認 を選択し、送信 を選択します。
- AWS CLI
-
AWS 組織全体でデフォルトポリシーを有効にするには
-
スタックセットを作成します。 create-stack-set コマンドを使用します。
--permission-model
の場合、SERVICE_MANAGED
を指定します。
には--template-url
、次のいずれかのテンプレート URLsを指定します。
-
(EBS-backed AMIs のデフォルトポリシー) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml
-
(EBS スナップショットのデフォルトポリシー) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml
には--parameters
、デフォルトポリシーの設定を指定します。サポートされているパラメータ、パラメータの説明、有効な値については、URL を使用してテンプレートをダウンロードし、テキストエディタを使用してテンプレートを表示します。
--auto-deployment
の場合、Enabled=true, RetainStacksOnAccountRemoval=true
を指定します。
$
aws cloudformation create-stack-set \
--stack-set-name stackset_name
\
--permission-model SERVICE_MANAGED \
--template-url template_url
\
--parameters "ParameterKey=param_name_1
,ParameterValue=param_value_1
" "ParameterKey=param_name_2
,ParameterValue=param_value_2
" \
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"
-
スタックセットをデプロイします。 create-stack-instances コマンドを使用します。
には--stack-set-name
、前のステップで作成したスタックセットの名前を指定します。
には--deployment-targets OrganizationalUnitIds
、組織全体にデプロイするルート OU の ID、または組織内の特定の OU にデプロイする OUs IDs を指定します。
には--regions
、デフォルトポリシーを有効にする AWS リージョンを指定します。
$
aws cloudformation create-stack-instances \
--stack-set-name stackset_name
\
--deployment-targets OrganizationalUnitIds='["root_ou_id"]'
| '["ou_id_1", "ou_id_2]'
\
--regions '["region_1
", "region_2
"]'
特定のターゲットアカウントでデフォルトポリシーを有効にするには
-
スタックセットを作成します。 create-stack-set コマンドを使用します。
には--template-url
、次のいずれかのテンプレート URLsを指定します。
-
(EBS-backed AMIs のデフォルトポリシー) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml
-
(EBS スナップショットのデフォルトポリシー) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml
には--administration-role-arn
、スタックセット管理者用に以前に作成した IAM サービスロールの ARN を指定します。
には--execution-role-name
、ターゲットアカウントで作成した IAM サービスロールの名前を指定します。
には--parameters
、デフォルトポリシーの設定を指定します。サポートされているパラメータ、パラメータの説明、有効な値については、URL を使用してテンプレートをダウンロードし、テキストエディタを使用してテンプレートを表示します。
--auto-deployment
の場合、Enabled=true, RetainStacksOnAccountRemoval=true
を指定します。
$
aws cloudformation create-stack-set \
--stack-set-name stackset_name
\
--template-url template_url
\
--parameters "ParameterKey=param_name_1
,ParameterValue=param_value_1
" "ParameterKey=param_name_2
,ParameterValue=param_value_2
" \
--administration-role-arn administrator_role_arn
\
--execution-role-name target_account_role
\
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"
-
スタックセットをデプロイします。 create-stack-instances コマンドを使用します。
には--stack-set-name
、前のステップで作成したスタックセットの名前を指定します。
には--accounts
、ターゲット AWS アカウントの IDsを指定します。
には--regions
、デフォルトポリシーを有効にする AWS リージョンを指定します。
$
aws cloudformation create-stack-instances \
--stack-set-name stackset_name
\
--accounts '["account_ID_1
","account_ID_2
"]' \
--regions '["region_1
", "region_2
"]'