As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS CloudFormation StackSets e AWS Organizations

AWS CloudFormation StackSets permite criar, atualizar ou excluir pilhas em várias Contas da AWS e Regiões da AWS com uma única operação. StackSets a integração com AWS Organizations permite que você crie conjuntos de pilhas com permissões gerenciadas por serviços, usando uma função vinculada ao serviço que tem a permissão relevante em cada conta de membro. Isso permite implantar instâncias de pilha em todas as contas-membro de sua organização. Você não precisa criar as AWS Identity and Access Management funções necessárias; StackSets cria a função do IAM em cada conta membro em seu nome.

Você também pode optar por habilitar implantações automáticas nas contas que serão adicionadas à sua organização no futuro. Com a implantação automática ativada, as funções e a implantação de instâncias associadas do conjunto de pilhas são adicionadas automaticamente a todas as contas adicionadas no futuro a essa OU.

Com o acesso confiável entre StackSets e Organizations ativado, a conta de gerenciamento tem permissões para criar e gerenciar conjuntos de pilhas para sua organização. A conta de gerenciamento pode registrar até cinco contas-membro como administradores delegados. Com o acesso confiável habilitado, os administradores delegados também têm permissões para criar e gerenciar conjuntos de pilhas para sua organização. Os conjuntos de pilha com permissões gerenciadas por serviço são criados na conta de gerenciamento, incluindo conjuntos de pilha criados por administradores delegados.

Para obter mais informações sobre a integração StackSets com Organizations, consulte Working with AWS CloudFormation StackSets no Guia do AWS CloudFormation Usuário.

Use as informações a seguir para ajudá-lo a se integrar AWS CloudFormation StackSets com AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o AWS CloudFormation Stacksets realize operações compatíveis nas contas da sua organização em sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o AWS CloudFormation e o Organizations, ou se remover a conta-membro da organização.

Para criar a função vinculada a serviço AWSServiceRoleForCloudFormationStackSetsOrgMember para as contas-membro em sua organização, primeiro é necessário criar um conjunto de pilhas na conta de gerenciamento. Isso cria uma instância de conjunto de pilhas, que então cria a função nas contas-membro.

Para obter mais detalhes sobre a criação de conjuntos de pilhas, consulte Como trabalhar com AWS CloudFormation StackSets no Guia do AWS CloudFormation usuário.

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo AWS CloudFormation Stacksets concedem acesso aos seguintes diretores de serviço:

Habilitar o acesso confiável no AWS CloudFormation Stacksets

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Somente um administrador na conta de gerenciamento do Organizations tem permissões para habilitar o acesso confiável a outro AWS serviço. Você pode habilitar o acesso confiável usando o console do AWS CloudFormation ou o console do Organizations.

Você pode habilitar o acesso confiável usando somente AWS CloudFormation StackSets.

Para ativar o acesso confiável usando o console AWS CloudFormation Stacksets, consulte Habilitar acesso confiável AWS Organizations no Guia do AWS CloudFormation usuário.

Desabilitar o acesso confiável no AWS CloudFormation Stacksets

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Somente um administrador em uma conta de gerenciamento do Organizations tem permissões para desativar o acesso confiável com outro AWS serviço. Você pode desabilitar o acesso confiável apenas usando o console do Organizations. Se você desativar o acesso confiável com Organizations enquanto estiver usando StackSets, todas as instâncias de pilha criadas anteriormente serão mantidas. No entanto, os conjuntos de pilhas implantados usando permissões da função vinculada ao serviço não podem mais realizar implantações em contas gerenciadas pelo Organizations.

Você pode desativar o acesso confiável usando o AWS CloudFormation console ou o console Organizations.

Você pode desativar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando do Organizations ou chamando uma operação da API Organizations em um dos AWS SDKs.

AWS Management Console

Para desabilitar o acesso confiável usando o console do Organizations

1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

2. No painel de navegação, escolha Serviços.

3. Escolha AWS CloudFormation StackSetsna lista de serviços.

4. Escolha Disable trusted access (Desabilitar acesso confiável).

5. Na caixa de AWS CloudFormation StackSets diálogo Desabilitar acesso confiável para, digite desabilitar para confirmá-lo e escolha Desabilitar acesso confiável.

6. Se você for administrador do Only AWS Organizations, informe ao administrador AWS CloudFormation StackSets que agora ele pode desativar esse serviço usando o console ou as ferramentas para não trabalhar com ele AWS Organizations.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os seguintes AWS CLI comandos ou operações de API para desativar o acesso confiável a serviços:

• AWS CLI: disable-aws-service-access

  Você pode executar o comando a seguir para desabilitar AWS CloudFormation StackSets como um serviço confiável com Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal stacksets.cloudformation.amazonaws.com

  Esse comando não gera nenhuma saída quando é bem-sucedido.

• AWS API: Desativar AWSServiceAccess

Habilitar uma conta de administrador delegado para Stacksets AWS CloudFormation

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e as funções dessa conta podem realizar ações administrativas para o AWS CloudFormation Stacksets que, de outra forma, só podem ser executadas por usuários ou funções na conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento de AWS CloudFormation Stacksets.

Para obter instruções sobre como designar uma conta-membro como administrador delegado do AWS CloudFormation StackSets na organização, consulte Registrar um administrador delegado no Guia do usuário do AWS CloudFormation .