Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Voraussetzungen für die Verwendung CloudFormation StackSets
StackSets erweitern Sie die Funktionalität von Stacks, sodass Sie Stacks für mehrere Konten und Regionen mit einem einzigen Vorgang erstellen, aktualisieren oder löschen können.
Da StackSets Sie Stack-Operationen über mehrere Konten hinweg durchführen können, benötigen Sie, bevor Sie Ihr erstes StackSet Konto erstellen können, die erforderlichen Berechtigungen, die in Ihrem definiert sind. AWS-Konten
Sie können die Verwaltung StackSets mit *selbstverwalteten oder *dienstverwalteten** Berechtigungen durchführen.
+ Für die *Selbstverwaltung* StackSets müssen Sie IAM-Rollen in jedem Zielkonto und erstellen und verwalten. AWS-Region Weitere Informationen finden Sie unter [Selbstverwaltete Berechtigungen erteilen](stacksets-prereqs-self-managed.md).
+ Bei *Service Managed* StackSets müssen Sie die IAM-Rollen nicht in jedem Konto manuell erstellen und verwalten. Die Rollenerstellung und die AWS Berechtigungen werden für Sie übernommen. Weitere Informationen finden Sie unter [Aktivieren Sie den vertrauenswürdigen Zugriff](stacksets-orgs-activate-trusted-access.md).
**Topics**
+ [Bereiten Sie sich auf die Ausführung von StackSet Vorgängen vor AWS-Regionen , die standardmäßig deaktiviert sind](stacksets-opt-in-regions.md)
+ [Selbstverwaltete Berechtigungen erteilen](stacksets-prereqs-self-managed.md)
+ [Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations](stacksets-orgs-activate-trusted-access.md)
# Bereiten Sie sich auf die Ausführung von StackSet Vorgängen vor AWS-Regionen , die standardmäßig deaktiviert sind
AWS-Regionen nach dem 20. März 2019 eingeführte Produkte wie Asien-Pazifik (Hongkong) sind standardmäßig deaktiviert. Sie müssen diese Regionen für Ihr Konto/Ihre Konten aktivieren, bevor Sie sie verwenden können. Weitere Informationen finden Sie unter [Aktivieren oder Deaktivieren AWS-Regionen in Ihrem Konto](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) in der *AWS -Kontenverwaltung Referenzanleitung*.
Um in einer StackSet Region, die standardmäßig deaktiviert StackSet ist, ein Administratorkonto (wenn Sie selbstverwaltete Berechtigungen verwenden) oder ein Verwaltungskonto der Organisation (wenn Sie vom Dienst verwaltete Berechtigungen verwenden) zu erstellen, müssen Sie zuerst diese Region für das Administrator- oder Verwaltungskonto aktivieren.
CloudFormation Um eine Stack-Instanz erfolgreich zu erstellen oder zu aktualisieren:
+ Das Zielkonto muss sich in einer Region befinden, die derzeit für dieses Zielkonto aktiviert ist.
+ Für StackSet das Administratorkonto oder das Verwaltungskonto der Organisation muss dieselbe Region aktiviert sein wie für das Zielkonto.
**Wichtig**
Beachten Sie, dass Administrator- und Zielkonten während des StackSet Betriebs Metadaten zu den Konten selbst StackSet sowie zu den beteiligten StackSet Instanzen austauschen.
Wenn Sie eine Region deaktivieren, die ein Konto enthält, in dem sich StackSet Instanzen befinden, sind Sie außerdem dafür verantwortlich, diese Instanzen oder Ressourcen auf Wunsch zu löschen. Beachten Sie auch, dass die Metadaten zum Zielkonto in der deaktivierten Region im Administratorkonto aufbewahrt werden.
# Selbstverwaltete Berechtigungen erteilen
*Dieses Thema enthält Anweisungen zum Erstellen der IAM-Dienstrollen, die für die kontenübergreifende Bereitstellung und AWS-Regionen mit StackSets selbstverwalteten Berechtigungen erforderlich sind.* Diese Rollen sind erforderlich, um eine vertrauenswürdige Beziehung zwischen dem Konto, von dem StackSet aus Sie die Daten verwalten, und dem Konto, für das Sie Stack-Instances bereitstellen, herzustellen. Wenn Sie dieses Berechtigungsmodell verwenden, StackSets können Sie es für alle AWS-Konto bereitstellen, für die Sie die Berechtigung zum Erstellen einer IAM-Rolle haben.
Um *dienstverwaltete* Berechtigungen zu verwenden, lesen Sie stattdessen [Aktivieren Sie den vertrauenswürdigen Zugriff](stacksets-orgs-activate-trusted-access.md) .
**Topics**
+ [Übersicht über selbstverwaltete Berechtigungen](#prereqs-self-managed-permissions)
+ [Geben Sie allen Benutzern des Administratorkontos die Berechtigung, Stapel in allen Zielkonten zu verwalten](#stacksets-prereqs-accountsetup)
+ [Richten Sie erweiterte Berechtigungsoptionen für StackSet Operationen ein](#stacksets-prereqs-advanced-perms)
+ [Richten Sie globale Schlüssel ein, um Confused-Deputy-Probleme zu mindern.](#confused-deputy-mitigation)
## Übersicht über selbstverwaltete Berechtigungen
Bevor Sie eine StackSet mit selbstverwalteten Berechtigungen erstellen, müssen Sie in jedem Konto IAM-Dienstrollen erstellt haben.
Die grundlegenden Schritte sind:
1. Ermitteln Sie, welches AWS-Konto das *Administratorkonto* ist.
StackSets werden in diesem Administratorkonto erstellt. Ein *Zielkonto* ist das Konto, in dem Sie einzelne Stacks erstellen, die zu einem StackSet gehören.
1. Bestimmen Sie, wie Sie die Berechtigungen für die StackSet strukturieren möchten.
Bei der einfachsten (und großzügigsten) Berechtigungskonfiguration geben Sie *allen* Benutzern und Gruppen im Administratorkonto die Möglichkeit, *alle* über dieses Konto StackSets verwalteten Berechtigungen zu erstellen und zu aktualisieren. Wenn Sie eine feinere Kontrolle benötigen, können Sie Berechtigungen einrichten, die Folgendes angeben:
+ Welche Benutzer und Gruppen können StackSet Operationen in welchen Zielkonten ausführen?
+ Welche Ressourcen Benutzer und Gruppen in ihre aufnehmen können StackSets.
+ Welche StackSet Operationen bestimmte Benutzer und Gruppen ausführen können.
1. Erstellen Sie die erforderlichen IAM-Servicerollen in Ihrem Administrator- und Ziel-Konto, um die gewünschten Berechtigungen zu definieren.
Konkret sind die beiden erforderlichen Rollen:
+ **AWSCloudFormationStackSetAdministrationRole**— Diese Rolle wird für das Administratorkonto bereitgestellt.
+ **AWSCloudFormationStackSetExecutionRole**— Diese Rolle wird für alle Konten bereitgestellt, in denen Sie Stack-Instances erstellen.
## Geben Sie allen Benutzern des Administratorkontos die Berechtigung, Stapel in allen Zielkonten zu verwalten
In diesem Abschnitt erfahren Sie, wie Sie Berechtigungen einrichten, damit alle Benutzer und Gruppen des Administratorkontos StackSet Operationen in allen Zielkonten ausführen können. Es führt Sie durch die Erstellung der erforderlichen IAM-Service-Rollen in Ihren Administrator- und Zielkonten. Jeder, der über das Administratorkonto verfügt, kann dann beliebige Stapel für alle Zielkonten erstellen, aktualisieren oder löschen.
Durch diese Strukturierung von Berechtigungen übergeben Benutzer keine Administratorrolle, wenn sie eine erstellen oder aktualisieren StackSet.
![\[Jeder Benutzer im Administratorkonto kann dann nach dem Einrichten einer Vertrauensbeziehung ein beliebiges StackSet Zielkonto erstellen.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/stacksets_perms_master_target.png)
------
#### [ Administrator account ]
Erstellen Sie im Administratorkonto eine IAM-Rolle mit dem Namen **AWSCloudFormationStackSetAdministrationRole**.
Sie können dies tun, indem Sie einen Stack aus der CloudFormation Vorlage erstellen, die unter [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetAdministrationRole.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetAdministrationRole.yml) verfügbar ist.
**Example Beispiel für eine Berechtigungsrichtlinie**
Die mit der vorangegangenen Vorlage erstellte Administrationsrolle enthält die folgende Berechtigungsrichtlinie.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole"
],
"Effect": "Allow"
}
]
}
```
**Example Beispiel Treuhandvertrag 1**
Die vorangehende Vorlage enthält auch die folgende Vertrauensrichtlinie, die dem Dienst die Berechtigung zur Verwendung der Administrationsrolle und der mit der Rolle verbundenen Berechtigungen erteilt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
**Example Beispiel Treuhandvertrag 2**
Wenn Sie Stack-Instances in einem Zielkonto bereitstellen möchten, das sich in einer Region befindet, die standardmäßig deaktiviert ist, müssen Sie auch den regionalen Dienstprinzipal für diese Region angeben. Jede standardmäßig deaktivierte Region verfügt über einen eigenen regionalen Service-Prinzipal.
Die folgende Beispiel-Vertrauensrichtlinie gewährt dem Dienst die Berechtigung zur Verwendung der Administrationsrolle in der Region Asien-Pazifik (Hongkong) (`ap-east-1`), einer Region, die standardmäßig deaktiviert ist.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"cloudformation.amazonaws.com",
"cloudformation.ap-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Weitere Informationen finden Sie unter [Bereiten Sie sich auf die Ausführung von StackSet Vorgängen vor AWS-Regionen , die standardmäßig deaktiviert sind](stacksets-opt-in-regions.md). Eine Liste der Regionalcodes finden Sie unter [Regionale Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints) in der *Allgemeine AWS-Referenz Anleitung*.
------
#### [ Target accounts ]
Erstellen Sie in jedem Zielkonto eine Servicerolle mit dem Namen **AWSCloudFormationStackSetExecutionRole**, dass dem Administratorkonto vertraut. Die Rolle muss genau diesen Namen haben. Sie können dies tun, indem Sie einen Stack aus der CloudFormation Vorlage erstellen, die unter [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetExecutionRole.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetExecutionRole.yml) verfügbar ist. Wenn Sie diese Vorlage verwenden, werden Sie aufgefordert, die Konto-ID des Administratorkontos anzugeben, mit dem Ihr Zielkonto eine Vertrauensbeziehung haben muss.
**Wichtig**
Beachten Sie, dass diese Vorlage Administratorzugriff gewährt. Nachdem Sie die Vorlage verwendet haben, um eine Ausführungsrolle für ein Zielkonto zu erstellen, müssen Sie die Berechtigungen in der Richtlinienanweisung auf die Ressourcentypen beschränken, die Sie verwenden. StackSets
Für die Servicerolle des Zielkontos sind Berechtigungen erforderlich, um alle in Ihrer CloudFormation Vorlage angegebenen Vorgänge ausführen zu können. Wenn Ihre Vorlage beispielsweise einen S3-Bucket erstellt, benötigen Sie Berechtigungen zum Erstellen neuer Objekte für S3. Ihr Zielkonto benötigt immer vollständige CloudFormation -Berechtigungen, darunter die Berechtigungen zum Erstellen, Aktualisieren, Löschen und Beschreiben von Stacks.
**Example Beispiel Berechtigungsrichtlinie 1**
Die mit dieser Vorlage erstellte Rolle aktiviert die folgende Richtlinie in einem Zielkonto.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
```
**Example Beispiel Berechtigungsrichtlinie 2**
Das folgende Beispiel zeigt eine Richtlinienerklärung mit den *Mindestberechtigungen* StackSets , um zu funktionieren. Um Stapel in Zielkonten zu erstellen, die Ressourcen von anderen Diensten als verwenden CloudFormation, müssen Sie diese Dienstaktionen und Ressourcen zur **AWSCloudFormationStackSetExecutionRole**Richtlinienerklärung für jedes Zielkonto hinzufügen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
**Example Beispiel für eine Treuhand-Police**
Die folgende Vertrauensbeziehung wird durch die Vorlage erstellt. Die ID des Administratorkontos wird als *admin\$1account\$1id* angezeigt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
Sie können die Vertrauensbeziehung einer vorhandenen Ausführungsrolle für ein Zielkonto so konfigurieren, dass sie einer bestimmten Rolle im Administratorkonto vertraut. Wenn Sie die Rolle im Administratorkonto löschen und eine neue erstellen, um sie zu ersetzen, müssen Sie die Vertrauensstellung Ihres Zielkontos mit der neuen Administratorkontorolle konfigurieren, wie *admin\$1account\$1id* im vorherigen Beispiel dargestellt.
------
## Richten Sie erweiterte Berechtigungsoptionen für StackSet Operationen ein
Wenn Sie eine genauere Kontrolle darüber benötigen StackSets , was Benutzer und Gruppen über ein einziges Administratorkonto erstellen, können Sie mithilfe von IAM-Rollen Folgendes angeben:
+ Welche Benutzer und Gruppen StackSet Operationen in welchen Zielkonten ausführen können.
+ Welche Ressourcen Benutzer und Gruppen in ihre aufnehmen können StackSets.
+ Welche StackSet Operationen bestimmte Benutzer und Gruppen ausführen können.
### Steuern Sie, welche Benutzer StackSet Operationen in bestimmten Zielkonten ausführen können
Verwenden Sie benutzerdefinierte Administratorrollen, um zu steuern, welche Benutzer und Gruppen StackSet Operationen in welchen Zielkonten ausführen können. Möglicherweise möchten Sie steuern, welche Benutzer des Administratorkontos StackSet Operationen in welchen Zielkonten ausführen können. Zu diesem Zweck erstellen Sie eine Vertrauensbeziehung zwischen jedem Zielkonto und einer bestimmten benutzerdefinierten Administratorrolle, anstatt die **AWSCloudFormationStackSetAdministrationRole**Servicerolle im Administratorkonto selbst zu erstellen. Anschließend aktivieren Sie bestimmte Benutzer und Gruppen, um die benutzerdefinierte Administratorrolle bei der Ausführung von StackSet Vorgängen in einem bestimmten Zielkonto zu verwenden.
Sie können beispielsweise in Ihrem Administratorkonto die Rollen A und B erstellen. Rolle A erhält die Berechtigung zum Zugriff auf Zielkonto 1 über Konto 8. Rolle B erhält die Berechtigung zum Zugriff auf Zielkonto 9 über Konto 16.
![\[Eine Vertrauensbeziehung zwischen einer benutzerdefinierten Administratorrolle und Zielkonten, die es Benutzern ermöglicht, eine zu erstellen StackSet.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/stacksets_perms_admin_target.png)
Das Einrichten der erforderlichen Berechtigungen umfasst das Definieren einer benutzerdefinierten Administratorrolle, das Erstellen einer Servicerolle für das Zielkonto und das Erteilen der Berechtigungen für Benutzer, die benutzerdefinierte Administratorrolle bei der Ausführung von StackSet Vorgängen zu übergeben.
Im Allgemeinen funktioniert das wie folgt, sobald Sie über die erforderlichen Berechtigungen verfügen: Beim Erstellen einer StackSet muss der Benutzer eine benutzerdefinierte Administratorrolle angeben. Der Benutzer benötigt die Berechtigung zum Übergeben der Rolle an CloudFormation. Darüber hinaus muss die benutzerdefinierte Administratorrolle über eine Vertrauensbeziehung zu den Zielkonten verfügen, die für die angegeben sind StackSet. CloudFormation erstellt die benutzerdefinierte Verwaltungsrolle StackSet und ordnet ihr die benutzerdefinierte Administratorrolle zu. Beim Aktualisieren einer StackSet muss der Benutzer explizit eine benutzerdefinierte Administratorrolle angeben, auch wenn es sich um dieselbe benutzerdefinierte Administratorrolle handelt, die StackSet zuvor für diese Rolle verwendet wurde. CloudFormationverwendet diese Rolle, um den Stack zu aktualisieren, sofern die oben genannten Anforderungen erfüllt sind.
------
#### [ Administrator account ]
**Example Beispiel für eine Berechtigungsrichtlinie**
Erstellen Sie für jede StackSet Rolle eine benutzerdefinierte Administratorrolle mit der Berechtigung, die Ausführungsrolle des Zielkontos zu übernehmen.
Der Name der Ausführungsrolle des Zielkontos muss in jedem Zielkonto derselbe sein. Wenn der Rollenname lautet **AWSCloudFormationStackSetExecutionRole**, wird er automatisch beim Erstellen einer StackSets verwendet StackSet. Wenn Sie einen benutzerdefinierten Rollennamen angeben, müssen Benutzer den Namen der Ausführungsrolle beim Erstellen einer angeben StackSet.
Erstellen Sie eine [IAM-Dienstrolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) mit einem benutzerdefinierten Namen und der folgenden Berechtigungsrichtlinie. In den folgenden Beispielen *custom\$1execution\$1role* bezieht sich dies auf die Ausführungsrolle in den Zielkonten.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/custom_execution_role"
],
"Effect": "Allow"
}
]
}
```
Wenn Sie mehrere Konten in einer einzigen Anweisung angeben möchten, trennen Sie diese durch Kommas.
```
"Resource": [
"arn:aws:iam::target_account_id_1:role/custom_execution_role",
"arn:aws:iam::target_account_id_2:role/custom_execution_role"
]
```
Sie können alle Zielkonten angeben, indem Sie einen Platzhalter (\$1) anstelle einer Konto-ID verwenden.
```
"Resource": [
"arn:aws:iam::*:role/custom_execution_role"
]
```
**Example Beispiel Treuhandvertrag 1**
Sie müssen eine Vertrauensrichtlinie für die Dienstrolle erstellen, um festzulegen, welche IAM-Principals die Rolle übernehmen können.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
**Example Beispiel Treuhandvertrag 2**
Wenn Sie Stack-Instances in einem Zielkonto bereitstellen möchten, das sich in einer Region befindet, die standardmäßig deaktiviert ist, müssen Sie auch den regionalen Dienstprinzipal für diese Region angeben. Jede standardmäßig deaktivierte Region verfügt über einen eigenen regionalen Service-Prinzipal.
Die folgende Beispiel-Vertrauensrichtlinie gewährt dem Dienst die Berechtigung zur Verwendung der Administrationsrolle in der Region Asien-Pazifik (Hongkong) (`ap-east-1`), einer Region, die standardmäßig deaktiviert ist.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"cloudformation.amazonaws.com",
"cloudformation.ap-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Weitere Informationen finden Sie unter [Bereiten Sie sich auf die Ausführung von StackSet Vorgängen vor AWS-Regionen , die standardmäßig deaktiviert sind](stacksets-opt-in-regions.md). Eine Liste der Regionalcodes finden Sie unter [Regionale Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints) im *AWS Allgemeinen Referenzhandbuch*.
**Example Beispiel einer Pass-Rollen-Richtlinie**
Sie benötigen außerdem eine IAM-Berechtigungsrichtlinie für Ihre IAM-Benutzer, die es dem Benutzer ermöglicht, bei der Ausführung StackSet von Vorgängen die benutzerdefinierte Administratorrolle zu übergeben. Weitere Informationen finden Sie unter [Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS -Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html).
Im folgenden Beispiel *customized\$1admin\$1role* bezieht sich dies auf die Administratorrolle, die der Benutzer bestehen muss.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/customized_admin_role"
}
]
}
```
------
#### [ Target accounts ]
Erstellen Sie in jedem Zielkonto eine Service-Rolle, die der benutzerdefinierten Administrationsrolle vertraut, die Sie mit diesem Konto verwenden möchten.
Für die Rolle des Zielkontos sind Berechtigungen erforderlich, um alle in Ihrer CloudFormation Vorlage angegebenen Vorgänge ausführen zu können. Wenn Ihre Vorlage beispielsweise einen S3-Bucket erstellt, benötigen Sie Berechtigungen zum Erstellen neuer Objekte in S3. Ihr Zielkonto benötigt immer volle CloudFormation Berechtigungen, zu denen auch Berechtigungen zum Erstellen, Aktualisieren, Löschen und Beschreiben von Stacks gehören.
Der Rollenname des Zielkontos muss in jedem Zielkonto derselbe sein. Wenn der Rollenname lautet **AWSCloudFormationStackSetExecutionRole**, wird er automatisch beim Erstellen eines StackSets StackSet verwendet. Wenn Sie einen benutzerdefinierten Rollennamen angeben, müssen Benutzer den Namen der Ausführungsrolle beim Erstellen einer angeben StackSet.
**Example Beispiel für eine Berechtigungsrichtlinie**
Das folgende Beispiel zeigt eine Richtlinienanweisung mit den *Mindestberechtigungen* StackSets , um zu funktionieren. Um Stacks in Zielkonten zu erstellen, die Ressourcen von anderen Diensten als verwenden CloudFormation, müssen Sie diese Dienstaktionen und Ressourcen zur Berechtigungsrichtlinie hinzufügen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
**Example Beispiel für eine Treuhand-Police**
Sie müssen die folgende Vertrauensrichtlinie angeben, wenn Sie die Rolle erstellen, um die Vertrauensbeziehung zu definieren.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/customized_admin_role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Steuern Sie die Ressourcen, die Benutzer in bestimmten Fällen einbeziehen können StackSets
Verwenden Sie benutzerdefinierte Ausführungsrollen, um zu steuern, welche Stack-Ressourcen Benutzer und Gruppen in ihre Rollen aufnehmen können StackSets. Beispielsweise möchten Sie möglicherweise eine Gruppe einrichten, die nur Amazon S3-bezogene Ressourcen in die von StackSets ihnen erstellten Dateien einbeziehen kann, während ein anderes Team nur DynamoDB-Ressourcen einbeziehen kann. Dazu erstellen Sie eine Vertrauensbeziehung zwischen der angepassten Administrationsrolle für jede Gruppe und einer angepassten Ausführungsrolle für jede Gruppe von Ressourcen. Die benutzerdefinierte Ausführungsrolle definiert, in welche Stack-Ressourcen aufgenommen werden können. StackSets Die benutzerdefinierte Administratorrolle befindet sich im Administratorkonto, während sich die benutzerdefinierte Ausführungsrolle in jedem Zielkonto befindet, in dem Sie StackSets mithilfe der definierten Ressourcen etwas erstellen möchten. Anschließend aktivieren Sie bestimmte Benutzer und Gruppen, um die benutzerdefinierte Administratorrolle bei der Ausführung StackSets von Vorgängen zu verwenden.
Sie können zum Beispiel benutzerdefinierte Administrationsrollen A, B und C im Administratorkonto erstellen. Benutzer und Gruppen mit der Berechtigung zur Verwendung von Rolle A können Ressourcen erstellen, die die Stack-Ressourcen StackSets enthalten, die speziell in der benutzerdefinierten Ausführungsrolle X aufgeführt sind, aber nicht die Ressourcen in den Rollen Y oder Z oder Ressourcen, die in keiner Ausführungsrolle enthalten sind.
![\[Eine Vertrauensbeziehung zwischen einer benutzerdefinierten Administratorrolle und einer benutzerdefinierten Ausführungsrolle in Zielkonten, sodass Benutzer eine erstellen können StackSet.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/stacksets_perms_admin_execution.png)
Beim Aktualisieren einer StackSet muss der Benutzer explizit eine benutzerdefinierte Administratorrolle angeben, auch wenn es sich um dieselbe benutzerdefinierte Administratorrolle handelt, die StackSet zuvor für diese Rolle verwendet wurde. CloudFormation führt das Update mit der angegebenen benutzerdefinierten Administratorrolle durch, sofern der Benutzer über die entsprechenden Berechtigungen verfügt StackSet.
Entsprechend kann der Benutzer auch eine benutzerdefinierte Ausführungsrolle angeben. Wenn sie eine benutzerdefinierte Ausführungsrolle angeben, CloudFormation verwendet diese Rolle, um den Stack zu aktualisieren, sofern die oben genannten Anforderungen erfüllt sind. Wenn der Benutzer keine benutzerdefinierte Ausführungsrolle angibt, CloudFormation führt er das Update mithilfe der benutzerdefinierten Ausführungsrolle durch, die zuvor mit der verknüpft war StackSet, sofern der Benutzer berechtigt ist, Operationen an dieser Rolle auszuführen StackSet.
------
#### [ Administrator account ]
Erstellen Sie eine angepasste Administrationsrolle in Ihrem Administratorkonto, wie in [Steuern Sie, welche Benutzer StackSet Operationen in bestimmten Zielkonten ausführen können](#stacksets-prereqs-multiadmin)beschrieben. Fügen Sie eine Vertrauensbeziehung zwischen der benutzerdefinierten Administrationsrolle und den benutzerdefinierten Ausführungsrollen ein, die sie verwenden soll.
**Example Beispiel für eine Berechtigungsrichtlinie**
Das folgende Beispiel ist eine Berechtigungsrichtlinie sowohl für die für das Zielkonto **AWSCloudFormationStackSetExecutionRole**definierten als auch für eine benutzerdefinierte Ausführungsrolle.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1487980684000",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole",
"arn:aws:iam::*:role/custom_execution_role"
]
}
]
}
```
------
#### [ Target accounts ]
Erstellen Sie in den Zielkonten, in denen Sie Ihre erstellen möchten StackSets, eine benutzerdefinierte Ausführungsrolle, die Berechtigungen für die Dienste und Ressourcen gewährt, zu denen Benutzer und Gruppen berechtigt sein sollen StackSets.
**Example Beispiel für eine Berechtigungsrichtlinie**
Das folgende Beispiel bietet die Mindestberechtigungen für StackSets sowie die Berechtigung zum Erstellen von Amazon DynamoDB-Tabellen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"dynamoDb:createTable"
],
"Resource": "*"
}
]
}
```
**Example Beispiel für eine Treuhand-Police**
Sie müssen die folgende Vertrauensrichtlinie angeben, wenn Sie die Rolle erstellen, um die Vertrauensbeziehung zu definieren.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/customized_admin_role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Richten Sie Berechtigungen für bestimmte Operationen ein StackSet
Darüber hinaus können Sie Berechtigungen einrichten, mit denen Benutzer und Gruppen bestimmte StackSet Operationen ausführen können, z. B. Instanzen erstellen, aktualisieren, löschen StackSets oder stapeln können. Weitere Informationen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für CloudFormation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html) in der *Service-Autorisierungs-Referenz*.
## Richten Sie globale Schlüssel ein, um Confused-Deputy-Probleme zu mindern.
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. Bei einem AWS dienstübergreifenden Identitätswechsel kann es zu einem Problem mit dem verwirrten Stellvertreter kommen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der *Anruf-Service*) einen anderen Service anruft (den *aufgerufenen Service*). Der Anruf-Service kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, AWS bietet Tools, mit denen Sie Ihre Daten für alle Dienste mit Dienstprinzipalen schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, CloudFormation StackSets die der Ressource einen anderen Dienst gewähren. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:cloudformation::123456789012:*`. Verwenden Sie nach Möglichkeit `aws:SourceArn`, da es spezifischer ist. Verwenden Sie `aws:SourceAccount` nur wenn Sie den richtigen ARN oder das ARN-Muster nicht ermitteln können.
When StackSets übernimmt die **Administratorrolle** in Ihrem **Administratorkonto** und StackSets füllt Ihre **Administratorkonto-ID** und Ihren StackSets Amazon-Ressourcennamen (ARN) aus. Sie können daher Bedingungen für die [globalen Schlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) `aws:SourceAccount` und `aws:SourceArn` in den Vertrauensbeziehungen definieren, um [Confused-Deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)-Probleme zu vermeiden. Das folgende Beispiel zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globale Bedingung verwenden können, StackSets um das Problem des verwirrten Stellvertreters zu vermeiden.
------
#### [ Administrator account ]
**Example Globale Schlüssel für `aws:SourceAccount` und `aws:SourceArn`**
Definieren Sie bei der Verwendung StackSets die globalen Schlüssel `aws:SourceAccount` und `aws:SourceArn` in Ihrer **AWSCloudFormationStackSetAdministrationRole**Vertrauensrichtlinie, um Probleme mit verwirrenden Stellvertretern zu vermeiden.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cloudformation:*:111122223333:stackset/*"
}
}
}
]
}
```
**Example StackSets ARNs**
Geben Sie StackSets ARNs für eine genauere Kontrolle Ihren zugehörigen Namen an.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": [
"arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-1",
"arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-2"
]
}
}
}
]
}
```
------
# Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations
Dieses Thema enthält Anweisungen zur Aktivierung des vertrauenswürdigen Zugriffs mit AWS Organizations. Dies ist für die kontenübergreifende Bereitstellung und StackSets die AWS-Regionen Verwendung von *dienstverwalteten* Berechtigungen erforderlich. Um *selbstverwaltete* Berechtigungen zu verwenden, lesen Sie stattdessen [Selbstverwaltete Berechtigungen erteilen](stacksets-prereqs-self-managed.md) .
Bevor Sie eine StackSet mit vom Dienst verwalteten Berechtigungen erstellen, müssen Sie zunächst die folgenden Aufgaben ausführen:
+ [Aktivieren Sie alle Funktionen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) in AWS Organizations. Wenn nur Funktionen für die konsolidierte Abrechnung aktiviert sind, können Sie keine StackSet mit vom Service verwalteten Berechtigungen erstellen.
+ Aktivieren Sie den vertrauenswürdigen Zugriff mit AWS Organizations. Diese Aktion ermöglicht CloudFormation das Erstellen einer dienstbezogenen Rolle im Verwaltungskonto. Wenn Sie nach der Aktivierung des vertrauenswürdigen Zugriffs eine StackSet mit vom Dienst verwalteten Berechtigungen erstellen, werden sowohl die erforderliche dienstverknüpfte Rolle als auch eine Servicerolle CloudFormation erstellt, die `stacksets-exec-*` in den Zielkonten (Mitgliedskonten) benannt ist.
Wenn der vertrauenswürdige Zugriff aktiviert ist, können das Verwaltungskonto und die delegierten Administratorkonten dienstverwaltete StackSets Konten für ihre Organisation erstellen und verwalten.
Um den vertrauenswürdigen Zugriff zu aktivieren, müssen Sie ein Administrator-Benutzer im Verwaltungskonto sein. Ein *Administrator-Benutzer* ist ein Benutzer mit vollen Rechten für Ihr AWS-Konto. Weitere Informationen finden Sie in [Erstellen eines Administratorbenutzers](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html) im *AWS -Kontenverwaltung Referenzhandbuch*. Empfehlungen zum Schutz der Sicherheit des Verwaltungskontos finden Sie unter [Best Practices für das Verwaltungskonto](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) im *AWS Organizations -Benutzerhandbuch*.
**So aktivieren Sie den vertrauenswürdigen Zugriff**
1. Melden Sie sich AWS als Administrator des Verwaltungskontos an und öffnen Sie die CloudFormation Konsole unter. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation)
1. **StackSets**. Wenn der vertrauenswürdige Zugriff deaktiviert ist, wird ein Banner mit einem Prompt angezeigt, den vertrauenswürdigen Zugriff zu aktivieren.
![\[Banner „Vertrauenswürdigen Zugriff aktivieren“\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/console-stacksets-enable-trusted-access-from-stacksets-list-new.png)
1. Wählen Sie **Vertrauenswürdigen Zugriff aktivieren** aus.
Der vertrauenswürdige Zugriff ist erfolgreich aktiviert, wenn das folgende Banner angezeigt wird.
![\[Banner „Vertrauenswürdiger Zugriff erfolgreich aktiviert“\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/console-stackset-trusted-access-enabled-banner-new.png)
**Anmerkung**
„Organisationszugriff aktivieren“ ist dasselbe wie „Organisationszugriff aktivieren“ und „Organisationszugriff deaktivieren“ ist dasselbe wie „Organisationszugriff deaktivieren“. Diese Bedingungen wurden auf der Grundlage von Marketingrichtlinien aktualisiert.
**Deaktivieren des vertrauenswürdigen Zugriffs**
Weitere Informationen finden Sie unter [CloudFormation StackSets und AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) im *AWS Organizations Benutzerhandbuch*.
Bevor Sie den vertrauenswürdigen Zugriff mit deaktivieren können AWS Organizations, müssen Sie alle delegierten Administratoren abmelden. Weitere Informationen finden Sie unter [Einen delegierten Administrator registrieren](stacksets-orgs-delegated-admin.md).
**Anmerkung**
Informationen über die Verwendung von API-Vorgängen anstelle der Konsole, um den vertrauenswürdigen Zugriff zu aktivieren oder zu deaktivieren, finden Sie unter:
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html)
## Service-verknüpfte Rollen
Das Verwaltungskonto verwendet die dienstverknüpfte Rolle. **AWSServiceRoleForCloudFormationStackSetsOrgAdmin** Sie können diese Rolle nur ändern oder löschen, wenn der vertrauenswürdige Zugriff mit AWS Organizations deaktiviert ist.
Jedes Zielkonto verwendet eine **AWSServiceRoleForCloudFormationStackSetsOrgMember**dienstverknüpfte Rolle. Sie können diese Rolle nur unter zwei Bedingungen ändern oder löschen: wenn der vertrauenswürdige Zugriff mit deaktiviert AWS Organizations ist oder wenn das Konto aus der Zielorganisation oder Organisationseinheit (OU) entfernt wird.
Weitere Informationen finden Sie unter [CloudFormation StackSets und AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) im *AWS Organizations Benutzerhandbuch*.
# Registrieren Sie ein Mitgliedskonto für delegierte Administratoren
Zusätzlich zum Verwaltungskonto Ihrer Organisation können Mitgliedskonten mit delegierten Administratorberechtigungen dienstverwaltete Berechtigungen für die Organisation erstellen und verwalten StackSets . StackSets mit vom Dienst verwalteten Berechtigungen werden im Verwaltungskonto erstellt, auch solche, die von delegierten Administratoren StackSets erstellt wurden. Um als delegierter Administrator für Ihre Organisation registriert zu sein, muss Ihr Mitgliedskonto in der Organisation sein. Weitere Informationen zum Beitritt zu einer Organisation finden Sie unter Einen zum Beitritt [AWS-Konto zu Ihrer Organisation einladen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
Ihre Organisation kann bis zu fünf registrierte delegierte Administratoren gleichzeitig haben. Delegierte Administratoren können wählen, ob die Bereitstellung für alle Konten in Ihrer Organisation oder für bestimmte OUs Konten erfolgen soll. Der vertrauenswürdige Zugriff mit AWS Organizations muss aktiviert werden, bevor delegierte Administratoren die Bereitstellung auf Konten vornehmen können, die von Organizations verwaltet werden. Weitere Informationen finden Sie unter [Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations](stacksets-orgs-activate-trusted-access.md).
**Wichtig**
Bitte beachten Sie die folgenden Hinweise:
Delegierte Administratoren haben volle Berechtigungen für die Bereitstellung auf Konten Ihrer Organisation. Das Verwaltungskonto kann delegierte Administratorrechte nicht auf die Bereitstellung auf bestimmte Vorgänge OUs oder die Ausführung bestimmter StackSet Vorgänge beschränken.
Vergewissern Sie sich, dass Ihre delegierten Administratoren über `organizations:ListDelegatedAdministrators`-Berechtigungen verfügen, um mögliche Fehler zu vermeiden.
Sie können delegierte Administratoren für Ihre Organisation in den folgenden Regionen registrieren: USA Ost (Ohio), USA Ost (Nord-Virginia), USA West (Nordkalifornien), USA West (Oregon), Asien-Pazifik (Mumbai), Asien-Pazifik (Seoul), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney), Asien-Pazifik (Tokio), Kanada (Zentral), Europa (Frankfurt), Europa (Irland), Europa (London), Europa (Paris), Europa (Stockholm), Israel (Tel Aviv), Südamerika (São Paulo), AWS GovCloud (US-Ost) und AWS GovCloud (US-West).
Sie können delegierte Administratoren mit der [CloudFormation Konsole](https://console.aws.amazon.com/cloudformation/), [AWS CLI](https://aws.amazon.com/cli/), oder registrieren und deregistrieren [AWS SDKs](https://aws.amazon.com/developer/tools/).
## So registrieren Sie einen delegierten Administrator (Konsole)
1. Melden Sie sich AWS als Administrator des Verwaltungskontos an und öffnen Sie die CloudFormation Konsole unter. [https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/)
1. **StackSets**.
1. Wählen Sie unter **Delegierte Administratoren** die Option **Delegierten Administrator registrieren** aus.
1. Wählen Sie im Dialogfeld **Delegierten Administrator registrieren** die Option **Delegierten Administrator registrieren** aus.
Die Erfolgsmeldung zeigt an, dass das Mitgliedskonto erfolgreich als delegierter Administrator registriert wurde.
## So heben Sie die Registrierung eines delegierten Administrators auf (Konsole)
1. Melden Sie sich AWS als Administrator des Verwaltungskontos an und öffnen Sie die CloudFormation Konsole unter[https://console.aws.amazon.com/](https://console.aws.amazon.com/).
1. **StackSets**.
1. Wählen Sie unter **Delegierte Administratoren** das Konto aus, das Sie abmelden möchten, und wählen Sie dann **Registrierung aufheben** aus.
Die Erfolgsmeldung zeigt an, dass das Mitgliedskonto erfolgreich als delegierter Administrator abgemeldet wurde.
Sie können dieses Konto jederzeit wieder registrieren.
## Um einen delegierten Administrator zu registrieren ()AWS CLI
1. Öffnen Sie das AWS CLI.
1. Führen Sie den Befehl `register-delegated-administrator` aus.
```
$ aws organizations register-delegated-administrator \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com \
--account-id="memberAccountId"
```
1. Führen Sie den Befehl `list-delegated-administrators` aus, um zu überprüfen, ob das angegebene Mitgliedskonto erfolgreich als delegierter Administrator registriert wurde.
```
$ aws organizations list-delegated-administrators \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com
```
## Um einen delegierten Administrator abzumelden ()AWS CLI
1. Öffnen Sie das. AWS CLI
1. Führen Sie den Befehl `deregister-delegated-administrator` aus.
```
$ aws organizations deregister-delegated-administrator \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com \
--account-id="memberAccountId"
```
1. Führen Sie den Befehl `list-delegated-administrators` aus, um zu überprüfen, ob das angegebene Mitgliedskonto erfolgreich als delegierter Administrator abgemeldet wurde.
```
$ aws organizations list-delegated-administrators \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com
```
Sie können dieses Konto jederzeit wieder registrieren.