Este tópico fornece instruções sobre como ativar o acesso confiável com o AWS Organizations, que é requerido pelo StackSets para realizar implantações em contas e em Regiões da AWS usando permissões gerenciadas pelo serviço. Para usar permissões autogerenciadas, consulte Conceder permissões autogerenciadas.
Para criar um conjunto de pilhas com permissões gerenciadas pelo serviço você deve primeiro concluir as seguintes tarefas:
-
Habilitar todos os recursos no AWS Organizations. Apenas com os atributos de faturamento consolidado habilitados, não é possível criar um conjunto de pilhas com permissões gerenciadas pelo serviço.
-
Ativa o acesso confiável com AWS Organizations. Essa ação permite que o CloudFormation crie um perfil vinculado ao serviço na conta de gerenciamento. Depois que o acesso confiável é ativado, quando você cria um conjunto de pilhas com permissões gerenciadas pelo serviço, o CloudFormation cria tanto o perfil vinculado ao serviço necessário quanto um perfil de serviço denominado
stacksets-exec-*nas contas de destino (membro).Com o acesso confiável ativado, a conta de gerenciamento e as contas de administrador delegado podem criar e gerenciar conjuntos de pilha gerenciados por serviços para sua organização.
Para ativar o acesso confiável, você deve ser um usuário administrador na conta de gerenciamento. Um usuário administrador é um usuário que tem todas as permissões em sua conta da Conta da AWS. Para obter mais informações, consulte Criar um usuário administrador no Guia de administração do AWS Gerenciamento de contas. Para obter recomendações para proteger a segurança da conta de gerenciamento, consulte Práticas recomendadas para a conta de gerenciamento no Manual do usuário do AWS Organizations.
Para ativar o acesso confiável
-
Faça login na AWS como administrador da conta de gerenciamento e abra o console do CloudFormation em https://console.aws.amazon.com/cloudformation
. -
No painel de navegação, escolha StackSets. Se o acesso confiável estiver desativado, um banner será exibido solicitando que você ative o acesso confiável.
-
Escolha Ativar acesso confiável.
O acesso confiável será ativado com êxito quando o banner a seguir for exibido.
nota
Ativar o acesso às organizações é o mesmo que Habilitar o acesso às organizações, e Desativar o acesso às organizações é o mesmo que Desabilitar o acesso às organizações. Esses termos foram atualizados com base nas diretrizes de marketing.
Para desativar o acesso confiável
Consulte AWS CloudFormation StackSets e AWS Organizations no Guia do usuário do AWS Organizations.
Antes de desativar o acesso confiável com o AWS Organizations, você deve cancelar o registro de todos os administradores delegados. Para ter mais informações, consulte Registro de um administrador delegado.
nota
Para obter informações sobre o uso de operações de API em vez do console para ativar ou desativar o acesso confiável, consulte:
Perfis vinculados ao serviço
A conta de gerenciamento usa o perfil vinculado ao serviço AWSServiceRoleForCloudFormationStackSetsOrgAdmin. Você só poderá modificar ou excluir esse perfil se o acesso confiável com o AWS Organizations estiver desativado.
Cada conta de destino usa um perfil vinculado ao serviço AWSServiceRoleForCloudFormationStackSetsOrgMember. Você poderá modificar ou excluir esse perfil apenas com duas condições: se o acesso confiável com o AWS Organizations estiver desativado ou se a conta for removida da organização de destino ou da unidade organizacional (UO).
Para mais informações, consulte AWS CloudFormation StackSetsAWS Organizations no Guia do usuário do AWS Organizations.
