Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations - AWS CloudFormation
Service-verknüpfte Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations

Dieses Thema enthält Anweisungen zur Aktivierung des vertrauenswürdigen Zugriffs mitAWS Organizations. Dies ist für die kontenübergreifende Bereitstellung und StackSets die AWS-Regionen Verwendung von dienstverwalteten Berechtigungen erforderlich. Um selbstverwaltete Berechtigungen zu verwenden, lesen Sie stattdessen Selbstverwaltete Berechtigungen erteilen .

Bevor Sie eine StackSet mit vom Dienst verwalteten Berechtigungen erstellen, müssen Sie zunächst die folgenden Aufgaben ausführen:

  • Aktivieren Sie alle Funktionen inAWS Organizations. Wenn nur Funktionen für die konsolidierte Abrechnung aktiviert sind, können Sie keine StackSet mit vom Service verwalteten Berechtigungen erstellen.

  • Aktivieren Sie den vertrauenswürdigen Zugriff mitAWS Organizations. Diese Aktion ermöglicht CloudFormation das Erstellen einer dienstbezogenen Rolle im Verwaltungskonto. Wenn Sie nach der Aktivierung des vertrauenswürdigen Zugriffs eine StackSet mit vom Dienst verwalteten Berechtigungen erstellen, werden sowohl die erforderliche dienstverknüpfte Rolle als auch eine Servicerolle CloudFormation erstellt, die stacksets-exec-* in den Zielkonten (Mitgliedskonten) benannt ist.

    Wenn der vertrauenswürdige Zugriff aktiviert ist, können das Verwaltungskonto und die delegierten Administratorkonten dienstverwaltete StackSets Konten für ihre Organisation erstellen und verwalten.

Um den vertrauenswürdigen Zugriff zu aktivieren, müssen Sie ein Administrator-Benutzer im Verwaltungskonto sein. Ein Administrator-Benutzer ist ein Benutzer mit vollen Rechten für Ihr AWS-Konto. Weitere Informationen finden Sie in Erstellen eines Administratorbenutzers im AWS -Kontenverwaltung Referenzhandbuch. Empfehlungen zum Schutz der Sicherheit des Verwaltungskontos finden Sie unter Best Practices für das Verwaltungskonto im AWS Organizations-Benutzerhandbuch.

So aktivieren Sie den vertrauenswürdigen Zugriff

  1. Melden Sie sich AWS als Administrator des Verwaltungskontos an und öffnen Sie die CloudFormation Konsole unter. https://console.aws.amazon.com/cloudformation

  2. StackSets. Wenn der vertrauenswürdige Zugriff deaktiviert ist, wird ein Banner mit einem Prompt angezeigt, den vertrauenswürdigen Zugriff zu aktivieren.

    Banner „Vertrauenswürdigen Zugriff aktivieren“

  3. Wählen Sie Vertrauenswürdigen Zugriff aktivieren aus.

    Der vertrauenswürdige Zugriff ist erfolgreich aktiviert, wenn das folgende Banner angezeigt wird.

    Banner „Vertrauenswürdiger Zugriff erfolgreich aktiviert“
    Anmerkung

    „Organisationszugriff aktivieren“ ist dasselbe wie „Organisationszugriff aktivieren“ und „Organisationszugriff deaktivieren“ ist dasselbe wie „Organisationszugriff deaktivieren“. Diese Bedingungen wurden auf der Grundlage von Marketingrichtlinien aktualisiert.

Deaktivieren des vertrauenswürdigen Zugriffs

Weitere Informationen finden Sie unter CloudFormationStackSets und AWS Organizations im AWS OrganizationsBenutzerhandbuch.

Bevor Sie den vertrauenswürdigen Zugriff mit deaktivieren könnenAWS Organizations, müssen Sie alle delegierten Administratoren abmelden. Weitere Informationen finden Sie unter Einen delegierten Administrator registrieren.

Anmerkung

Informationen über die Verwendung von API-Vorgängen anstelle der Konsole, um den vertrauenswürdigen Zugriff zu aktivieren oder zu deaktivieren, finden Sie unter:

Service-verknüpfte Rollen

Das Verwaltungskonto verwendet die dienstverknüpfte Rolle. AWSServiceRoleForCloudFormationStackSetsOrgAdmin Sie können diese Rolle nur ändern oder löschen, wenn der vertrauenswürdige Zugriff mit AWS Organizations deaktiviert ist.

Jedes Zielkonto verwendet eine AWSServiceRoleForCloudFormationStackSetsOrgMemberdienstverknüpfte Rolle. Sie können diese Rolle nur unter zwei Bedingungen ändern oder löschen: wenn der vertrauenswürdige Zugriff mit deaktiviert AWS Organizations ist oder wenn das Konto aus der Zielorganisation oder Organisationseinheit (OU) entfernt wird.

Weitere Informationen finden Sie unter CloudFormationStackSets und AWS Organizations im AWS OrganizationsBenutzerhandbuch.