AWS CloudFormation StackSets 和 AWS Organizations - AWS Organizations
服務連結角色服務委託人啟用受信任的存取停用受信任存取啟用委派的管理員

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS CloudFormation StackSets 和 AWS Organizations

AWS CloudFormation StackSets 可讓您透過單一作業跨多個 AWS 帳戶 建立、更新或刪除堆疊。 AWS 區域 StackSets 與整合 AWS Organizations 可讓您使用在每個成員帳戶中具有相關權限的服務連結角色,建立具有服務管理權限的堆疊集。這可讓您將堆疊執行個體部署至組織中的成員帳戶。您不必建立必要的 AWS Identity and Access Management 角色;代表您在每個成員帳戶中建 StackSets 立 IAM 角色。

您可以選擇自動部署到未來新增至組織的帳戶。啟用自動部署後,關聯堆疊集執行個體的角色和部署會自動新增至未來在該 OU 中新增的所有帳戶。

啟用 StackSets 和組 Organizations 之間的受信任存取後,管理帳戶具有為您的組織建立和管理堆疊集的權限。管理帳戶最多可將五個成員帳戶註冊為委派管理員。啟用受信任存取之後,委派管理員也會擁有為您的組織建立和管理堆疊集的許可。具有服務管理許可的堆疊集是在管理帳戶中建立的,包括由委派管理員建立的堆疊集。

重要

委派管理員具有部署至組織中帳戶的完整許可。管理帳戶無法限制部署至特定 OU 或執行特定堆疊集操作的委派管理員許可。

若要取得有關 StackSets 與 Organizations 整合的更多資訊,請參閱《AWS CloudFormation 使用指南》 AWS CloudFormation StackSets中的〈使用〉。

請使用下列資訊來協助您整 AWS CloudFormation StackSets 合 AWS Organizations。

當您啟用整合時,即會建立服務連結角色。

當您啟用受信任存取時,會在您組織的管理帳戶中自動建立以下服務連結角色。此角色可讓 AWS CloudFormation Stackset 在組織帳戶內執行支援的作業。

只有在您停用 AWS CloudFormation Stacksets 和 Organizations 之間的受信任存取,或者從組織中刪除成員帳戶時,才能移除或修改此角色。

  • 管理帳戶︰AWSServiceRoleForCloudFormationStackSetsOrgAdmin

若要為您組織中的成員帳戶建立服務連結角色 AWSServiceRoleForCloudFormationStackSetsOrgMember,您需要先在管理帳戶中建立堆疊集。此將建立一個堆疊集執行個體,然後在成員帳戶中建立角色。

  • 成員帳戶︰AWSServiceRoleForCloudFormationStackSetsOrgMember

如需關建立堆疊集的更多詳細資訊,請參閱《AWS CloudFormation 使用指南》 AWS CloudFormation StackSets中的〈使用〉。

服務連結角色所使用的服務委託人

上一節中的服務連結角色,只能由依據角色定義的信任關係所授權的服務委託人來假設。 AWS CloudFormation Stackset 所使用的服務連結角色會授與下列服務主體的存取權:

  • 管理帳戶︰stacksets.cloudformation.amazonaws.com

    只有當您停用 StackSets 和 [Organizations] 之間的信任存取時,才能修改或刪除此角色。

  • 成員帳戶︰member.org.stacksets.cloudformation.amazonaws.com

    只有當您先停用 StackSets 和 [組織] 之間的信任存取,或者先從目標組 Organizations 或組織單位 (OU) 移除帳戶時,才能從帳戶修改或刪除此角色。

使用 AWS CloudFormation Stacksets 啟用受信任的存取

如需啟用受信任存取所需許可的資訊,請參閱啟用信任的存取所需的許可

只有 Organizations 管理帳戶中的系統管理員具有對其他 AWS 服務啟用受信任存取的權限。您可以使用 AWS CloudFormation 主控台或 Organizations 主控台來啟用信任存取。

您只能使用啟用受信任的存取 AWS CloudFormation StackSets。

若要使用 AWS CloudFormation Stacksets 主控台啟用受信任的存取,請參閱使用 AWS CloudFormation 者指南 AWS Organizations中的啟用受信任存取

使用 AWS CloudFormation Stacksets 停用受信任的存取

如需啟用受信任的存取所需許可的資訊,請參閱停用信任的存取所需的許可

只有 Organizations 管理帳戶中的系統管理員具有停用其他 AWS 服務的受信任存取權限的權限。您只能使用 Organizations 主控台來停用受信任的存取。如果您在使用時停用「Organizations」的受信任存取 StackSets,則會保留所有先前建立的堆疊執行個體。不過,使用服務連結角色許可部署的堆疊集,無法再對 Organizations 管理的帳戶執行部署。

您可以使用 AWS CloudFormation 主控台或 Organizations 主控台停用受信任的存取。

重要

如果您以程式設計方式停用受信任存取 (例如,使用 AWS CLI 或使用 API),請注意,這會移除權限。最好使用 AWS CloudFormation 控制台禁用受信任的訪問。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDK 中的 Organizations API 作業來停用受信任的存取。

AWS Management Console
使用 Organizations 主控台來受信停用任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. 在導覽窗格中,選擇服務

  3. AWS CloudFormation StackSets在服務列表中選擇。

  4. 選擇停用受信任的存取

  5. 在 [停用受信任的存取權限] 對 AWS CloudFormation StackSets話方塊中,輸入 [停用] 以確認,然後選擇 [停用信任的存取]。

  6. 如果您只是管理員,請告訴管理員 AWS Organizations,他們現在可以使用其主控台或工具停用該服務,無法使用該服務 AWS Organizations。 AWS CloudFormation StackSets

AWS CLI, AWS API
使用 Organizations CLI/SDK 來停用受信任服務存取

您可以使用下列 AWS CLI 命令或 API 作業來停用受信任的服務存取:

  • AWS CLI: disable-aws-service-access

    您可以執行下列命令,將 AWS CloudFormation StackSets 其停用為「Organizations」的信任服務。

    $ aws organizations disable-aws-service-access \
    --service-principal stacksets.cloudformation.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:停用 AWSServiceAccess

啟用 AWS CloudFormation 堆疊集的委派系統管理員帳戶

當您將成員帳戶指定為組織的委派管理員時,該帳戶的使用者和角色可以對 AWS CloudFormation Stacksets 執行管理動作,否則只能由組織管理帳戶中的使用者或角色執行。這有助於您將組織的管理與 AWS CloudFormation Stackset 的管理分開。

如需如何將成員帳戶指定為組織中 AWS CloudFormation Stacksets 的堆疊集,請參閱AWS CloudFormation 使用者指南中的註冊委派管理員