Voraussetzungen CloudFormation Vorlagen für die Erstellung von Lambda-Funktionen

Vermeiden Sie fehlgeschlagene StackSets Bereitstellungen mithilfe von Target Account Gates

Ein Account-Gate ist eine optionale Funktion, mit der Sie überprüfen können, ob ein Zielkonto bestimmte Anforderungen erfüllt, bevor der StackSets Betrieb CloudFormation in diesem Konto aufgenommen wird. Diese Überprüfung erfolgt über eine AWS Lambda Funktion, die als Überprüfung der Voraussetzungen dient.

Ein gängiges Beispiel für ein Account-Gate ist die Überprüfung, ob auf dem Zielkonto keine CloudWatch Alarme aktiv oder ungelöst sind. CloudFormation ruft die Lambda-Funktion jedes Mal auf, wenn Sie Stack-Operationen im Zielkonto starten, und fährt nur fort, wenn die Funktion einen SUCCEEDED Code zurückgibt. Wenn die Lambda-Funktion den Status zurückgibtFAILED, setzt Sie den angeforderten Vorgang CloudFormation nicht fort. Wenn Sie keine Lambda-Funktion für das Account-Gating konfiguriert haben, CloudFormation überspringen Sie die Prüfung und setzen Sie Ihren Vorgang fort.

Wenn die Konto-Gate-Überprüfung des Zielkontos fehlschlägt, wird der fehlgeschlagene Vorgang Ihrer angegebene Ausfalltoleranz bzw. dem Prozentsatz für Stacks angerechnet. Weitere Informationen zur Fehlertoleranz finden Sie unter StackSet Operationsoptionen.

Account-Gating ist nur für Operationen verfügbar. StackSets Diese Funktion ist für andere CloudFormation Operationen außerhalb von StackSets nicht verfügbar.

Voraussetzungen

Die folgenden Anforderungen müssen für das Account-Gating erfüllt sein:

Ihre Lambda-Funktion muss benannt werdenAWSCloudFormationStackSetAccountGate, um diese Funktion verwenden zu können.
Sie AWSCloudFormationStackSetExecutionRolemüssen über Berechtigungen verfügen, um Ihre Lambda-Funktion aufzurufen. Ohne diese Berechtigungen CloudFormation wird die Überprüfung der Kontozuweisung übersprungen und die Stack-Operationen ausgeführt.
Damit Konto-Gating funktioniert, muss Zielkonten die Lambda-Berechtigung InvokeFunction hinzugefügt werden. Die Vertrauensbeziehungs-Richtlinie des Zielkontos muss über eine Vertrauensbeziehung mit dem Administratorkonto verfügen. Es folgt ein Beispiel für eine Richtlinienanweisung, die die Lambda-Berechtigungen InvokeFunction erteilt.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": "*"
        }
    ]
}
```

CloudFormation Vorlagen für die Erstellung von Lambda-Funktionen

Verwenden Sie die folgenden Beispielvorlagen, um AWSCloudFormationStackSetAccountGate Lambda-Funktionen zu erstellen. Informationen zum Erstellen eines neuen Stacks mit einer dieser Vorlagen finden Sie unterEinen Stack von der CloudFormation Konsole aus erstellen.

Vorlagenspeicherort	Beschreibung
https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateSucceeded.yml	Erstellt einen Stack, der eine Lambda-Konto-Gate-Funktion implementiert, die den Status `SUCCEEDED` zurückgibt.
https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateFailed.yml	Erstellt einen Stack, der eine Lambda-Konto-Gate-Funktion implementiert, die den Status `FAILED` zurückgibt.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Löschen StackSets

Wählen Sie den Parallelitätsmodus