翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # アカウントとリージョン間で Data Lifecycle Manager のデフォルトポリシーを有効にする CloudFormation StackSets を使用すると、1 回のオペレーションで複数のアカウントと AWS リージョンで Amazon Data Lifecycle Manager のデフォルトポリシーを有効にできます。 StackSets を使用して、次のいずれかの方法でデフォルトポリシーを有効にすることができます。 + ** AWS 組織全体** — 組織全体または AWS 組織内の特定の組織単位にわたって、デフォルトのポリシーが一貫して有効になり、設定されていることを確認します。これは、*サービス管理のアクセス許可*を使用して行われます。 CloudFormation StackSets は、ユーザーに代わって必要な IAM ロールを作成します。 + **特定の AWS アカウント全体** — 特定のターゲットアカウント間でデフォルトポリシーが一貫して有効になり、設定されていることを確認します。これには、*セルフマネージドアクセス許可*が必要です。StackSet 管理者アカウントとターゲットアカウント間の信頼関係を確立するために必要な IAM ロールを作成します。 詳細については、「*AWS CloudFormation ユーザーガイド*」の「[スタックセット用のアクセス許可モデル](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html#stacksets-concepts-stackset-permission-models)」を参照してください。 次の手順を使用して、 AWS 組織全体、特定の OUs、または特定のターゲットアカウントで Amazon Data Lifecycle Manager のデフォルトポリシーを有効にします。 **前提条件** デフォルトポリシーを有効にする方法に応じて、以下のいずれかを実行します。 + ( AWS 組織全体) [組織内のすべての機能を有効に](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)し、 [で信頼されたアクセスを有効にする AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-activate-trusted-access.html)必要があります。組織の管理アカウントまたは[委任管理者アカウント](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)にサインインする必要があります。 + (特定のターゲットアカウント全体) StackSet 管理者アカウントとターゲットアカウントの間に信頼関係を確立するために必要なロールを作成して、[セルフマネージドアクセス許可を付与](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html)する必要があります。 ------ #### [ Console ] **AWS 組織全体または特定のターゲットアカウントでデフォルトポリシーを有効にするには** 1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソールを開きます。 1. ナビゲーションペインで **[StackSets]**、**[StackSet を作成]** の順に選択します。 1. **[アクセス許可]** で、デフォルトのポリシーを有効にする方法に応じて、次のいずれかを実行します。 + ( AWS 組織全体) **サービス管理のアクセス許可**を選択します。 + (特定のターゲットアカウント全体) **[セルフサービスアクセス許可]** を選択します。次に、**[IAM 管理ロール ARN]** で管理者アカウント用に作成した IAM サービスロールを選択し、**[IAM 実行ロール名]** にターゲットアカウントで作成した IAM サービスロールの名前を入力します。 1. **[テンプレートの準備]** で **[サンプルテンプレートを使用]** を選択します。 1. **[サンプルテンプレート]** で次のいずれかを実行します。 + (EBS スナップショットのデフォルトポリシー) **[EBS スナップショットの Amazon Data Lifecycle Manager デフォルトポリシーの作成]** を選択します。 + (EBS-backed AMI のデフォルトポリシー) **[EBS-backed AMI の Amazon Data Lifecycle Manager デフォルトポリシーの作成]** を選択します。 1. [**次へ**] を選択します。 1. **[StackSet 名]** と **[StackSet の説明]** に、わかりやすい名前と簡単な説明を入力します。 1. **[パラメータ]** セクションで、必要に応じてデフォルトのポリシー設定を設定します。 **注記** 重要なワークロードの場合、**CreateInterval = 1 日**、**RetainInterval = 7 日**をお勧めします。 1. [**次へ**] を選択します。 1. (オプション) **[タグ]** では、StackSet とスタックリソースを識別するのに役立つタグを指定します。 1. **[マネージド型の実行]** の場合は、**[アクティブ]** を選択します。 1. [**次へ**] を選択します。 1. **[Add stacks to stack set]** (スタックセットにスタックを追加) で、**[Deploy new stacks]** (新しいスタックのデプロイ) を選択します。 1. デフォルトポリシーを有効にする方法に応じて、以下のいずれかを実行します。 + ( AWS 組織全体) **デプロイターゲット**では、次のいずれかのオプションを選択します。 + AWS 組織全体にデプロイするには、**組織へのデプロイ**を選択します。 + 特定の組織単位 (OU) にデプロイするには、**[組織単位 (OU) へのデプロイ]** を選択し、**[OU ID]** に OU ID を入力します。OU を追加するには、**[別の OU を追加]** を選択します。 + (特定のターゲットアカウント全体) **[アカウント]** の場合は、次のいずれかを実行します。 + 特定のターゲットアカウントにデプロイするには、**[スタックをアカウントにデプロイ]** を選択し、**[アカウント番号]** にターゲットアカウントの ID を入力します。 + 特定の OU 内のすべてのアカウントにデプロイするには、**[スタックを組織単位内のすべてのアカウントにデプロイ]** を選択し、**[組織番号]** にターゲット OU の ID を入力します。 1. **[自動デプロイ]** で、**[アクティブ化済み]** を選択します。 1. **[アカウント削除の動作]** で、**[スタックを保持]** を選択します。 1. **[リージョンの指定]** では、デフォルトポリシーを有効にする特定のリージョンを選択するか、**[すべてのリージョンを追加]** を選択してすべてのリージョンでデフォルトポリシーを有効にします。 1. [**次へ**] を選択します。 1. スタックセット設定を確認し、 **が IAM リソースを作成する CloudFormation 可能性があることを確認**してから、**送信**を選択します。 ------ #### [ AWS CLI ] **AWS 組織全体でデフォルトポリシーを有効にするには** 1. スタックセットを作成します。[create-stack-set](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html) コマンドを使用します。 `--permission-model` の場合、`SERVICE_MANAGED` を指定します。 `--template-url` で、次のいずれかのテンプレート URL を指定します。 + (EBS-backed AMI のデフォルトポリシー) `https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml` + (EBS スナップショットのデフォルトポリシー) `https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml` `--parameters` で、デフォルトポリシーの設定を指定します。サポートされているパラメータ、パラメータの説明、および有効な値については、URL を使用してテンプレートをダウンロードし、テキストエディタを使用してテンプレートを表示します。 `--auto-deployment` の場合、`Enabled=true, RetainStacksOnAccountRemoval=true` を指定します。 ``` $ aws cloudformation create-stack-set \ --stack-set-name stackset_name \ --permission-model SERVICE_MANAGED \ --template-url template_url \ --parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \ --auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true" ``` 1. スタックセットをデプロイします。[create-stack-instances](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html) コマンドを使用します。 `--stack-set-name` で、前のステップで作成したスタックセットの名前を指定します。 `--deployment-targets OrganizationalUnitIds` で、組織全体にデプロイするルート OU の ID、または組織内の特定の OU にデプロイする OU ID を指定します。 で`--regions`、デフォルトポリシーを有効にする AWS リージョンを指定します。 ``` $ aws cloudformation create-stack-instances \ --stack-set-name stackset_name \ --deployment-targets OrganizationalUnitIds='["root_ou_id"]' | '["ou_id_1", "ou_id_2]' \ --regions '["region_1", "region_2"]' ``` **特定のターゲットアカウント間でデフォルトポリシーを有効にするには** 1. スタックセットを作成します。[create-stack-set](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html) コマンドを使用します。 `--template-url` で、次のいずれかのテンプレート URL を指定します。 + (EBS-backed AMI のデフォルトポリシー) `https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml` + (EBS スナップショットのデフォルトポリシー) `https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml` `--administration-role-arn` で、スタックセット管理者用に以前に作成した IAM サービスロールの ARN を指定します。 `--execution-role-name` で、ターゲットアカウントで作成した IAM サービスロールの名前を指定します。 `--parameters` で、デフォルトポリシーの設定を指定します。サポートされているパラメータ、パラメータの説明、および有効な値については、URL を使用してテンプレートをダウンロードし、テキストエディタを使用してテンプレートを表示します。 `--auto-deployment` の場合、`Enabled=true, RetainStacksOnAccountRemoval=true` を指定します。 ``` $ aws cloudformation create-stack-set \ --stack-set-name stackset_name \ --template-url template_url \ --parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \ --administration-role-arn administrator_role_arn \ --execution-role-name target_account_role \ --auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true" ``` 1. スタックセットをデプロイします。[create-stack-instances](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html) コマンドを使用します。 `--stack-set-name` で、前のステップで作成したスタックセットの名前を指定します。 には`--accounts`、ターゲット AWS アカウントの IDs を指定します。 で`--regions`、デフォルトポリシーを有効にする AWS リージョンを指定します。 ``` $ aws cloudformation create-stack-instances \ --stack-set-name stackset_name \ --accounts '["account_ID_1","account_ID_2"]' \ --regions '["region_1", "region_2"]' ``` ------