Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltung von Stacks über Konten und Regionen hinweg mit StackSets
CloudFormation StackSets erweitert die Funktionen von Stacks, indem es Ihnen ermöglicht, Stacks für mehrere Konten und AWS-Regionen mit einem einzigen Vorgang zu erstellen, zu aktualisieren oder zu löschen. Mithilfe eines Administratorkontos definieren und verwalten Sie eine CloudFormation Vorlage und verwenden die Vorlage als Grundlage für die Bereitstellung von Stacks für ausgewählte Zielkonten auf bestimmten Zielkonten. AWS-Regionen
![\[A StackSet ist eine Sammlung von Ressourcen in einer Vorlage, die für mehrere Konten und Regionen bereitgestellt wird.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/stack_set_conceptual_sv.png)
Dieser Abschnitt hilft Ihnen bei den ersten Schritten StackSets und beantwortet häufig gestellte Fragen zur Arbeit mit der StackSet Erstellung, Aktualisierung und Löschung sowie zur Problembehebung.
**Topics**
+ [StackSets Konzepte](stacksets-concepts.md)
+ [Voraussetzungen für die Verwendung CloudFormation StackSets](stacksets-prereqs.md)
+ [Erste Schritte mit StackSets der Verwendung einer Beispielvorlage](stacksets-getting-started.md)
+ [CloudFormation StackSets Mit selbstverwalteten Berechtigungen erstellen](stacksets-getting-started-create-self-managed.md)
+ [CloudFormation StackSets Mit vom Service verwalteten Berechtigungen erstellen](stacksets-orgs-associate-stackset-with-org.md)
+ [Automatische Bereitstellungen für StackSets in aktivieren oder deaktivieren AWS Organizations](stacksets-orgs-manage-auto-deployment.md)
+ [Aktualisierung CloudFormation StackSets](stacksets-update.md)
+ [Stapel hinzufügen zu CloudFormation StackSets](stackinstances-create.md)
+ [Überschreiben Sie Parameterwerte auf Stacks in Ihrem CloudFormation StackSet](stackinstances-override.md)
+ [Stapel löschen von CloudFormation StackSets](stackinstances-delete.md)
+ [Löschen CloudFormation StackSets](stacksets-delete.md)
+ [Vermeiden Sie fehlgeschlagene StackSets Bereitstellungen mithilfe von Target Account Gates](stacksets-account-gating.md)
+ [Wählen Sie den Parallelitätsmodus für CloudFormation StackSets](concurrency-mode.md)
+ [Drifterkennung durchführen am CloudFormation StackSets](stacksets-drift.md)
+ [Stapel importieren in CloudFormation StackSets](stacksets-import.md)
+ [Bewährte Methoden für die Verwendung CloudFormation StackSets](stacksets-bestpractices.md)
+ [CloudFormation StackSets Beispielvorlagen](stacksets-sampletemplates.md)
+ [Problembehebung CloudFormation StackSets](stacksets-troubleshooting.md)
# StackSets Konzepte
Die folgenden Begriffe und Konzepte sind für Ihr Verständnis und Ihre Verwendung von von von zentraler Bedeutung StackSets.
**Topics**
+ [Administrator- und Ziel-Konten](#stacksets-concepts-accts)
+ [CloudFormation StackSets](#stacksets-concepts-stackset)
+ [Berechtigungsmodelle für StackSets](#stacksets-concepts-stackset-permission-models)
+ [Stack-Instances](#stacksets-concepts-stackinstances)
+ [StackSet Operationen](#stacksets-concepts-ops)
+ [StackSet Operationsoptionen](#stackset-ops-options)
+ [Tags (Markierungen)](#stackset-concepts-tags)
+ [StackSets Statuscodes](#stackset-status-codes)
+ [Stack-Instance-Statuscodes](#stack-instance-status-codes)
## Administrator- und Ziel-Konten
Ein *Administratorkonto* ist das, AWS-Konto in dem Sie erstellen StackSets. StackSets Bei vom Dienst verwalteten Berechtigungen ist das Administratorkonto entweder das Verwaltungskonto der Organisation oder ein delegiertes Administratorkonto. Sie können ein verwalten, StackSet indem Sie sich bei dem AWS Administratorkonto anmelden, mit dem das erstellt wurde. StackSet
Ein *Zielkonto* ist das Konto, für das Sie einen oder mehrere Stacks in Ihrem StackSet erstellen, aktualisieren oder löschen. Bevor Sie einen verwenden können StackSet , um Stacks in einem Zielkonto zu erstellen, müssen Sie eine Vertrauensbeziehung zwischen dem Administrator und den Zielkonten einrichten.
## CloudFormation StackSets
A *StackSet*dient als Container für mehrere Stacks, die in bestimmten AWS-Konten Regionen bereitgestellt werden. Jeder Stapel basiert auf derselben CloudFormation Vorlage, aber Sie können einzelne Stapel mithilfe von Parametern anpassen.
Nachdem Sie eine definiert haben StackSet, können Sie Stacks in den Zielkonten erstellen, aktualisieren oder löschen, und zwar nach Ihren AWS-Regionen Wünschen. Wenn Sie Stacks erstellen, aktualisieren und löschen, können Sie auch Betriebseinstellungen festlegen. Geben Sie beispielsweise die Reihenfolge der Regionen an, in denen Sie den Vorgang ausführen möchten, den Schwellenwert für die Ausfalltoleranz vor dem Stack-Vorgang und die Anzahl der Konten, die gleichzeitig Stack-Vorgänge ausführen.
A StackSet ist eine regionale Ressource. Wenn Sie eine StackSet in einer Region erstellen AWS-Region, können Sie sie nur sehen oder ändern, wenn Sie diese Region aufrufen.
## Berechtigungsmodelle für StackSets
Sie können entweder *selbstverwaltete Berechtigungen oder *dienstverwaltete** Berechtigungen StackSets verwenden.
Mit *selbstverwalteten* Berechtigungen erstellen Sie die IAM-Rollen, die für die konto- und StackSets regionsübergreifende Bereitstellung erforderlich sind. Diese Rollen sind erforderlich, um eine vertrauenswürdige Beziehung zwischen dem Konto, von dem StackSet aus Sie die Daten verwalten, und dem Konto, für das Sie Stack-Instances bereitstellen, herzustellen. Wenn Sie dieses Berechtigungsmodell verwenden, StackSets können Sie es für alle AWS-Konto bereitstellen, für die Sie die Berechtigung zum Erstellen einer IAM-Rolle haben.
Mit den Berechtigungen *serviceverwaltet* können Sie Stack-Instances auf Konten verteilen, die von AWS Organizations verwaltet werden. Mit diesem Berechtigungsmodell müssen Sie nicht die erforderlichen IAM-Rollen erstellen. Die IAM-Rollen werden in Ihrem Namen StackSets erstellt. Mit diesem Modell können Sie auch automatische Bereitstellungen für Konten aktivieren, die Ihrer Organisation in der Zukunft hinzugefügt werden.
AWS Organizations lässt sich in Ihre Umgebung integrieren CloudFormation und unterstützt Sie bei der zentralen Verwaltung und Steuerung Ihrer Umgebung, während Sie Ihre AWS Ressourcen skalieren und erweitern.
+ Verwaltungskonto – das Konto, das Sie zur Erstellung der Organisation verwenden. Weitere Informationen finden Sie unter [Terminologie und Konzepte für AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
+ Delegierter Administrator — Ein kompatibler AWS Dienst kann ein AWS Mitgliedskonto in der Organisation als Administrator für die Konten der Organisation in diesem Dienst registrieren. Weitere Informationen finden Sie unter [AWS Dienste, die Sie zusammen AWS Organizations verwenden können](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
Weitere Informationen zum Erstellen und Verwalten StackSets mit vom Dienst verwalteten Berechtigungen finden Sie in den folgenden Themen:
+ [Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations](stacksets-orgs-activate-trusted-access.md)
+ [Registrieren Sie ein Mitgliedskonto für delegierte Administratoren](stacksets-orgs-delegated-admin.md)
+ [CloudFormation StackSets Mit vom Service verwalteten Berechtigungen erstellen](stacksets-orgs-associate-stackset-with-org.md)
## Stack-Instances
Eine *Stack-Instance* ist eine Referenz auf einen Stack in einem Zielkonto innerhalb einer Region. Eine Stack-Instance kann ohne Stack existieren. Wenn der Stack beispielsweise aus irgendeinem Grund nicht erstellt werden konnte, zeigt die Stack-Instance den Grund für den Fehler bei der Stack-Erstellung an. Eine Stack-Instanz ist nur einer StackSet zugeordnet.
Die folgende Abbildung zeigt die logischen Beziehungen zwischen StackSets Stack-Operationen und Stacks. Wenn Sie a aktualisieren StackSet, werden *alle* zugehörigen Stack-Instances in allen Konten und Regionen aktualisiert.
![\[A StackSet kann Stack-Instances und Stacks über Konten und Regionen hinweg erstellen, aktualisieren oder löschen.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/stack_sets_operations_stacks_sv.png)
## StackSet Operationen
Sie können die folgenden Operationen an ausführen StackSets.
Erstellen StackSet
Das Erstellen eines neuen StackSet umfasst die Angabe einer CloudFormation Vorlage, die Sie zum Erstellen von Stacks verwenden möchten, die Angabe der Zielkonten, in denen Sie Stacks erstellen möchten, und die Identifizierung der Zielkonten, AWS-Regionen in denen Sie Stacks in Ihren Zielkonten bereitstellen möchten. A StackSet gewährleistet die konsistente Bereitstellung derselben Stack-Ressourcen mit denselben Einstellungen für alle angegebenen Zielkonten in den von Ihnen ausgewählten Regionen.
Aktualisieren StackSet
Wenn Sie a aktualisieren StackSet, übertragen Sie Änderungen auf Stapel in Ihrem StackSet. Sie können a StackSet auf eine der folgenden Arten aktualisieren. Ihre Vorlagenaktualisierungen wirken sich immer auf alle Stapel aus. Sie können die Vorlage nicht selektiv für einige Stapel im aktualisieren StackSet, für andere jedoch nicht.
+ Ändern vorhandener Einstellungen in der Vorlage oder Hinzufügen neuer Ressourcen, z. B. zum Aktualisieren von Parametereinstellungen für einen bestimmten Service oder das Hinzufügen neuer Amazon EC2-Instances.
+ Ersetzen der Vorlage durch eine andere Vorlage.
+ Hinzufügen von Stacks in bestehenden oder zusätzlichen Zielkonten, über bestehende oder zusätzliche Regionen hinweg.
Stacks löschen
Wenn Sie Stacks löschen, entfernen Sie einen Stack und alle zugehörigen Ressourcen aus den von Ihnen angegebenen Zielkonten innerhalb der von Ihnen angegebenen Regionen. Sie können Stacks wie folgt löschen.
+ Stacks von einigen Zielkonten löschen, während andere Stacks in anderen Zielkonten weiterhin ausgeführt werden.
+ Löschen von Stacks aus einigen Regionen, während Stacks in anderen Regionen weiterlaufen.
+ **Löschen Sie Stapel aus Ihren StackSet, speichern Sie sie jedoch, sodass sie unabhängig von Ihren weiterlaufen, StackSet indem Sie die Option Stapel beibehalten wählen.** Sie können die gespeicherten Stapel dann außerhalb Ihres eigenen Speichers verwalten. StackSet CloudFormation
+ Löschen Sie alle Stapel in Ihrem StackSet, um das Löschen Ihrer gesamten Stapel vorzubereiten. StackSet
Löschen StackSet
Sie können Ihre StackSet nur löschen, wenn keine Stack-Instances darin enthalten sind.
## StackSet Operationsoptionen
Die in diesem Abschnitt beschriebenen Optionen helfen dabei, die Dauer und Anzahl der Fehler zu kontrollieren, die für erfolgreiche StackSet Operationen zulässig sind, und verhindern, dass Sie Stack-Ressourcen verlieren.
Maximale Anzahl paralleler Konten
Diese Einstellung steht in den Workflows für das Erstellen, Aktualisieren und Löschen zur Verfügung. Sie gestattet Ihnen, die maximale Anzahl oder den Prozentsatz der Zielkonten anzugeben, in dem ein Vorgang ausgeführt wird. Eine niedrigere Anzahl oder ein niedrigerer Prozentsatz bedeuten, dass ein Vorgang in weniger Zielkonten ausgeführt wird. Die Vorgänge werden jeweils in einer Region in der Reihenfolge durchgeführt, die im Feld **Deployment order** (Bereitstellungsreihenfolge) angegeben ist. Wenn Sie z. B. Stacks auf 10 Zielkonten innerhalb von zwei Regionen bereitstellen und **Maximum concurrent accounts** (Maximale gleichzeitige Konten) auf **50** und **By percentage** (Prozentual) einstellen, werden Stacks auf fünf Konten in der ersten Region und dann auf die zweiten fünf Konten innerhalb der ersten Region bereitgestellt, bevor in der nächsten Region mit der Bereitstellung an die ersten fünf Zielkonten begonnen wird.
Wenn Sie „**Nach Prozent**“ wählen und der angegebene Prozentsatz nicht einer ganzen Anzahl Ihrer angegebenen Konten entspricht, wird CloudFormation abgerundet. Wenn Sie beispielsweise Stacks für 10 Zielkonten bereitstellen und die **maximale Anzahl gleichzeitiger Konten auf **25** und nach Prozent festlegen, wird von der gleichzeitigen** **Bereitstellung von** 2,5 Stacks (was nicht möglich wäre) auf die gleichzeitige Bereitstellung von zwei Stacks CloudFormation abgerundet.
Beachten Sie, dass Ihnen diese Einstellung ermöglicht, das *Maximum* für Operationen anzugeben. Bei großen Bereitstellungen kann unter Umständen die tatsächliche Anzahl von gleichzeitig bedienen Konten aufgrund einer Service-Ablehnung kleiner ist.
**Maximale Anzahl gleichzeitiger Konten** kann vom Wert von **Fehlertoleranz** abhängig von Ihrem **Gleichzeitigkeitsmodus**abhängen. Wenn Ihr **Gleichzeitigkeitsmodus** auf **Strenge Fehlertoleranz** eingestellt ist, kann **Maximale Anzahl gleichzeitiger Konten** höchstens eins mehr sein als die **Fehlertoleranz** Einstellung.
Parallelitätsmodus
Mit dieser Einstellung, die in Workflows zum Erstellen, Aktualisieren und Löschen verfügbar ist, können Sie auswählen, wie sich die Parallelitätsebene bei Vorgängen verhält. StackSet Weitere Informationen finden Sie unter [Wählen Sie den Parallelitätsmodus für CloudFormation StackSets](concurrency-mode.md).
Fehlertoleranz
Mit dieser Einstellung, die in Workflows zum Erstellen, Aktualisieren und Löschen verfügbar ist, können Sie pro Region die maximale Anzahl oder den Prozentsatz von Stack-Operationsfehlern angeben, die auftreten können. Bei Überschreitung dieser Einstellung wird ein Vorgang automatisch CloudFormation beendet. Eine niedrigere Anzahl bzw. ein geringerer Prozentsatz bedeutet, dass der Vorgang auf weniger Stacks ausgeführt wird, aber dass Sie schneller mit der Fehlersuche für fehlgeschlagene Vorgänge beginnen können. Wenn Sie z.B. 10 Stacks in 10 Zielkonten innerhalb von drei Regionen aktualisieren, bedeutet die Einstellung von **Failure tolerance (Ausfalltoleranz)** auf **20** und **By percentage (Prozentual)**, dass maximal zwei Stack-Aktualisierungen in einer Region fehlschlagen können, damit der Vorgang fortgesetzt werden kann. Wenn ein dritter Stack in derselben Region ausfällt, CloudFormation wird der Vorgang beendet. Wenn ein Stack in der ersten Region nicht aktualisiert werden konnte, wird der Aktualisierungsvorgang in dieser Region fortgesetzt und geht dann zur nächsten Region über. Wenn zwei Stapel in der zweiten Region nicht aktualisiert werden können, erreicht die Fehlertoleranz 20%. Wenn ein dritter Stack in der Region ausfällt, wird der Aktualisierungsvorgang CloudFormation gestoppt und es wird nicht zu nachfolgenden Regionen übergegangen.
Wenn Sie „**Nach Prozent**“ wählen und der angegebene Prozentsatz nicht einer ganzen Anzahl Ihrer Stapel in jeder Region entspricht, wird CloudFormation abgerundet. Wenn Sie beispielsweise Stacks für 10 Zielkonten in drei Regionen bereitstellen und die **Fehlertoleranz** auf **25** und „**Nach Prozent“ festlegen, wird von** einer Fehlertoleranz von 2,5 Stacks (was nicht möglich wäre) auf eine Fehlertoleranz von zwei Stacks pro Region CloudFormation abgerundet.
Stacks beibehalten
Mit dieser Einstellung, die in Workflows zum Löschen von Stacks verfügbar ist, können Sie Stapel und ihre Ressourcen auch nach dem Entfernen von Stacks aus einem am Laufen halten. StackSet Wenn Sie Stacks beibehalten, lässt CloudFormation die Stacks in einzelnen Konten und Regionen intakt. Stacks trennen sich von dem StackSet, schonen aber den Stapel und seine Ressourcen. Nachdem ein Vorgang zum Löschen von Stacks abgeschlossen ist, verwalten Sie die gespeicherten Stacks in dem Zielkonto (nicht im Administratorkonto) CloudFormation, das die Stacks erstellt hat.
Region-Parallelität
Mit dieser Einstellung, die in Workflows zum Erstellen, Aktualisieren und Löschen verfügbar ist, können Sie auswählen, wie die StackSets Bereitstellung in Regionen erfolgen soll.
*Sequentiell* — Bereitstellen StackSets des Vorgangs in jeweils einer Region, wie im Feld „Region **Deployment Order**“ angegeben, sofern die Bereitstellungsfehler einer Region eine angegebene Fehlertoleranz nicht überschreiten. Die sequenzielle Bereitstellung ist die Standardauswahl.
*Parallel* — Bereitstellen von StackSets Vorgängen in allen angegebenen Regionen gleichzeitig, sofern die Bereitstellungsfehler einer Region eine angegebene Fehlertoleranz nicht überschreiten.
## Tags (Markierungen)
Sie können bei StackSet Erstellungs- und Aktualisierungsvorgängen Tags hinzufügen, indem Sie Schlüssel- und Wertepaare angeben. Tags sind nützlich, um StackSet Ressourcen für die Abrechnung und Kostenzuweisung zu sortieren und zu filtern. Weitere Informationen zur Verwendung von Stichwörtern finden Sie im AWS*AWS Fakturierung und Kostenmanagement Benutzerhandbuch* unter [Organisieren und Nachverfolgen von AWS Kosten mithilfe von Kostenverrechnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html). Nachdem Sie das Schlüssel-Wert-Paar festgelegt haben, wählen Sie **\$1**, um das Tag zu speichern. Sie können Tags löschen, die Sie nicht mehr verwenden, indem Sie das rote **X** rechts von einem Tag auswählen.
Tags, die Sie anwenden, um sie StackSets auf alle Stapel und auf die Ressourcen anzuwenden, die durch Ihre Stapel erstellt werden. Sie können Tags auch nur auf Stack-Ebene in hinzufügen CloudFormation, aber diese Tags werden möglicherweise nicht angezeigt. StackSets
Es werden zwar StackSets keine systemdefinierten Tags hinzugefügt, Sie sollten jedoch die Schlüsselnamen von Tags nicht mit der Zeichenfolge beginnen. `aws:`
## StackSets Statuscodes
CloudFormation StackSets generiert Statuscodes für StackSet Operationen.
In der folgenden Tabelle werden Statuscodes für StackSet Operationen beschrieben.
`RUNNING`
Die Operation ist derzeit in Bearbeitung.
`SUCCEEDED`
Die Operation wurde abgeschlossen, ohne die Fehlertoleranz für die Operation zu überschreiten.
`FAILED`
Die Anzahl der Stacks, auf denen der Vorgang nicht fertiggestellt werden konnte, hat die benutzerdefinierte Fehlertoleranz überschritten. Der Fehlertoleranz-Wert, den Sie für einen Vorgang festgelegt haben, gilt während Stack-Erstellungs- und Aktualisierungs-Vorgängen für jede Region. Wenn die Anzahl der fehlgeschlagenen Stacks innerhalb einer Region die Fehlertoleranz überschreitet, wird der Status des Vorgangs in der Region auf `FAILED` gesetzt. Der Status des gesamten Vorgangs ist ebenfalls auf `FAILED` festgelegt und der Vorgang wird in allen verbleibenden Regionen CloudFormation abgebrochen.
`QUEUED`
[`Service-managed permissions`] Bei automatischen Bereitstellungen, die eine Abfolge von Vorgängen erfordern, wird der Vorgang in die Warteschlange gestellt, damit er ausgeführt werden kann. Beispiel:
+ Wenn ein Konto von einer Organisationseinheit (OU) in eine andere verschoben wird`OU2`, wird eine automatische Bereitstellung ausgelöst. `OU1` StackSets führt einen Löschvorgang aus, um die Stack-Instance aus dem `OU1` Zielkonto in der Zielregion zu entfernen, und stellt einen Erstellungsvorgang in die Warteschlange, um dem `OU2` Zielkonto in der Zielregion eine Stack-Instance hinzuzufügen.
+ Das Hinzufügen eines Kontos `AccountA` zu einer Organisationseinheit löst eine automatische Bereitstellung aus. StackSets führt einen Erstellungsvorgang aus, um eine Stack-Instance `AccountA` in der Zielregion hinzuzufügen. Wenn Sie der Organisationseinheit ein weiteres Konto `AccountB` hinzufügen, während dieser Erstellungsvorgang ausgeführt wird, wird ein zweiter Erstellungsvorgang in die StackSets Warteschlange gestellt. Wenn der erste Erstellungsvorgang abgeschlossen ist, wird der zweite Erstellungsvorgang StackSets ausgeführt, um der Zielregion eine Stack-Instanz hinzuzufügen. `AccountB`
`STOPPING`
Die Operation wird gerade auf Anforderung des Benutzers angehalten.
`STOPPED`
Der Vorgang wurde auf Anforderung des Benutzers angehalten.
## Stack-Instance-Statuscodes
CloudFormation StackSets generiert Statuscodes für Stack-Instances.
In der folgenden Tabelle werden die Statuscodes für die darin enthaltenen Stack-Instances beschrieben StackSets.
`CURRENT`
Der Stack ist auf dem neuesten Stand mit dem StackSet.
`OUTDATED`
Der Stapel ist aus einem der StackSet folgenden Gründe nicht auf dem neuesten Stand.
+ Eine [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackSet.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackSet.html) oder [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html) Operation auf dem zugehörigen Stapel ist fehlgeschlagen.
+ Der Stapel war Teil einer [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackSet.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackSet.html) oder [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html) Operation, die fehlgeschlagen ist oder vor der Erstellung oder Aktualisierung des Stapels angehalten wurde.
`INOPERABLE`
Eine [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStackInstances.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStackInstances.html) Operation ist fehlgeschlagen und hat den Stapel in einen instabilen Zustand versetzt. Stapel in diesem Zustand sind von weiteren [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html) Operationen ausgeschlossen. Möglicherweise müssen Sie eine Operation [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStackInstances.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStackInstances.html) durchführen, wobei `RetainStacks` auf `true`gesetzt wird, um die Stack-Instance zu löschen, und den Stack dann manuell löschen.
`CANCELLED`
Der Vorgang im angegebenen Konto und der angegebenen Region wurde storniert. Das passiert, weil ein Benutzer den StackSet Vorgang beendet hat oder weil die StackSet Operationen die Fehlertoleranz überschreiten.
`FAILED`
Der Vorgang im angegebenen Konto und der angegebenen Region ist fehlgeschlagen. Wenn der StackSet Vorgang bei genügend Konten innerhalb einer Region fehlschlägt, wird möglicherweise die Fehlertoleranz für den gesamten StackSet Vorgang überschritten.
`FAILED_IMPORT`
Der Import der Stack-Instance in das angegebene Konto und die Region ist fehlgeschlagen und hat den Stack in einen instabilen Zustand versetzt. Sobald die Probleme, die den Fehler verursacht haben, behoben sind, kann der Importvorgang erneut versucht werden. Wenn genügend StackSet Operationen auf genügend Konten innerhalb einer Region fehlschlagen, kann die Fehlertoleranz für den gesamten StackSet Vorgang überschritten werden.
`PENDING`
Der Vorgang im angegebenen Konto und der angegebenen Region muss noch gestartet werden.
`RUNNING`
Der Vorgang im angegebenen Konto und der angegebenen Region wird derzeit ausgeführt.
`SKIPPED_SUSPENDED_ACCOUNT`
Der Vorgang im angegebenen Konto und der angegebenen Region wurde übersprungen, da das Konto zum Zeitpunkt des Vorgangs gesperrt war.
`SUCCEEDED`
Der Vorgang im angegebenen Konto und der angegebenen Region wurde erfolgreich abgeschlossen.
# Voraussetzungen für die Verwendung CloudFormation StackSets
StackSets erweitern Sie die Funktionalität von Stacks, sodass Sie Stacks für mehrere Konten und Regionen mit einem einzigen Vorgang erstellen, aktualisieren oder löschen können.
Da StackSets Sie Stack-Operationen über mehrere Konten hinweg durchführen können, benötigen Sie, bevor Sie Ihr erstes StackSet Konto erstellen können, die erforderlichen Berechtigungen, die in Ihrem definiert sind. AWS-Konten
Sie können die Verwaltung StackSets mit *selbstverwalteten oder *dienstverwalteten** Berechtigungen durchführen.
+ Für die *Selbstverwaltung* StackSets müssen Sie IAM-Rollen in jedem Zielkonto und erstellen und verwalten. AWS-Region Weitere Informationen finden Sie unter [Selbstverwaltete Berechtigungen erteilen](stacksets-prereqs-self-managed.md).
+ Bei *Service Managed* StackSets müssen Sie die IAM-Rollen nicht in jedem Konto manuell erstellen und verwalten. Die Rollenerstellung und die AWS Berechtigungen werden für Sie übernommen. Weitere Informationen finden Sie unter [Aktivieren Sie den vertrauenswürdigen Zugriff](stacksets-orgs-activate-trusted-access.md).
**Topics**
+ [Bereiten Sie sich auf die Ausführung von StackSet Vorgängen vor AWS-Regionen , die standardmäßig deaktiviert sind](stacksets-opt-in-regions.md)
+ [Selbstverwaltete Berechtigungen erteilen](stacksets-prereqs-self-managed.md)
+ [Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations](stacksets-orgs-activate-trusted-access.md)
# Bereiten Sie sich auf die Ausführung von StackSet Vorgängen vor AWS-Regionen , die standardmäßig deaktiviert sind
AWS-Regionen nach dem 20. März 2019 eingeführte Produkte wie Asien-Pazifik (Hongkong) sind standardmäßig deaktiviert. Sie müssen diese Regionen für Ihr Konto/Ihre Konten aktivieren, bevor Sie sie verwenden können. Weitere Informationen finden Sie unter [Aktivieren oder Deaktivieren AWS-Regionen in Ihrem Konto](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) in der *AWS -Kontenverwaltung Referenzanleitung*.
Um in einer StackSet Region, die standardmäßig deaktiviert StackSet ist, ein Administratorkonto (wenn Sie selbstverwaltete Berechtigungen verwenden) oder ein Verwaltungskonto der Organisation (wenn Sie vom Dienst verwaltete Berechtigungen verwenden) zu erstellen, müssen Sie zuerst diese Region für das Administrator- oder Verwaltungskonto aktivieren.
CloudFormation Um eine Stack-Instanz erfolgreich zu erstellen oder zu aktualisieren:
+ Das Zielkonto muss sich in einer Region befinden, die derzeit für dieses Zielkonto aktiviert ist.
+ Für StackSet das Administratorkonto oder das Verwaltungskonto der Organisation muss dieselbe Region aktiviert sein wie für das Zielkonto.
**Wichtig**
Beachten Sie, dass Administrator- und Zielkonten während des StackSet Betriebs Metadaten zu den Konten selbst StackSet sowie zu den beteiligten StackSet Instanzen austauschen.
Wenn Sie eine Region deaktivieren, die ein Konto enthält, in dem sich StackSet Instanzen befinden, sind Sie außerdem dafür verantwortlich, diese Instanzen oder Ressourcen auf Wunsch zu löschen. Beachten Sie auch, dass die Metadaten zum Zielkonto in der deaktivierten Region im Administratorkonto aufbewahrt werden.
# Selbstverwaltete Berechtigungen erteilen
*Dieses Thema enthält Anweisungen zum Erstellen der IAM-Dienstrollen, die für die kontenübergreifende Bereitstellung und AWS-Regionen mit StackSets selbstverwalteten Berechtigungen erforderlich sind.* Diese Rollen sind erforderlich, um eine vertrauenswürdige Beziehung zwischen dem Konto, von dem StackSet aus Sie die Daten verwalten, und dem Konto, für das Sie Stack-Instances bereitstellen, herzustellen. Wenn Sie dieses Berechtigungsmodell verwenden, StackSets können Sie es für alle AWS-Konto bereitstellen, für die Sie die Berechtigung zum Erstellen einer IAM-Rolle haben.
Um *dienstverwaltete* Berechtigungen zu verwenden, lesen Sie stattdessen [Aktivieren Sie den vertrauenswürdigen Zugriff](stacksets-orgs-activate-trusted-access.md) .
**Topics**
+ [Übersicht über selbstverwaltete Berechtigungen](#prereqs-self-managed-permissions)
+ [Geben Sie allen Benutzern des Administratorkontos die Berechtigung, Stapel in allen Zielkonten zu verwalten](#stacksets-prereqs-accountsetup)
+ [Richten Sie erweiterte Berechtigungsoptionen für StackSet Operationen ein](#stacksets-prereqs-advanced-perms)
+ [Richten Sie globale Schlüssel ein, um Confused-Deputy-Probleme zu mindern.](#confused-deputy-mitigation)
## Übersicht über selbstverwaltete Berechtigungen
Bevor Sie eine StackSet mit selbstverwalteten Berechtigungen erstellen, müssen Sie in jedem Konto IAM-Dienstrollen erstellt haben.
Die grundlegenden Schritte sind:
1. Ermitteln Sie, welches AWS-Konto das *Administratorkonto* ist.
StackSets werden in diesem Administratorkonto erstellt. Ein *Zielkonto* ist das Konto, in dem Sie einzelne Stacks erstellen, die zu einem StackSet gehören.
1. Bestimmen Sie, wie Sie die Berechtigungen für die StackSet strukturieren möchten.
Bei der einfachsten (und großzügigsten) Berechtigungskonfiguration geben Sie *allen* Benutzern und Gruppen im Administratorkonto die Möglichkeit, *alle* über dieses Konto StackSets verwalteten Berechtigungen zu erstellen und zu aktualisieren. Wenn Sie eine feinere Kontrolle benötigen, können Sie Berechtigungen einrichten, die Folgendes angeben:
+ Welche Benutzer und Gruppen können StackSet Operationen in welchen Zielkonten ausführen?
+ Welche Ressourcen Benutzer und Gruppen in ihre aufnehmen können StackSets.
+ Welche StackSet Operationen bestimmte Benutzer und Gruppen ausführen können.
1. Erstellen Sie die erforderlichen IAM-Servicerollen in Ihrem Administrator- und Ziel-Konto, um die gewünschten Berechtigungen zu definieren.
Konkret sind die beiden erforderlichen Rollen:
+ **AWSCloudFormationStackSetAdministrationRole**— Diese Rolle wird für das Administratorkonto bereitgestellt.
+ **AWSCloudFormationStackSetExecutionRole**— Diese Rolle wird für alle Konten bereitgestellt, in denen Sie Stack-Instances erstellen.
## Geben Sie allen Benutzern des Administratorkontos die Berechtigung, Stapel in allen Zielkonten zu verwalten
In diesem Abschnitt erfahren Sie, wie Sie Berechtigungen einrichten, damit alle Benutzer und Gruppen des Administratorkontos StackSet Operationen in allen Zielkonten ausführen können. Es führt Sie durch die Erstellung der erforderlichen IAM-Service-Rollen in Ihren Administrator- und Zielkonten. Jeder, der über das Administratorkonto verfügt, kann dann beliebige Stapel für alle Zielkonten erstellen, aktualisieren oder löschen.
Durch diese Strukturierung von Berechtigungen übergeben Benutzer keine Administratorrolle, wenn sie eine erstellen oder aktualisieren StackSet.
![\[Jeder Benutzer im Administratorkonto kann dann nach dem Einrichten einer Vertrauensbeziehung ein beliebiges StackSet Zielkonto erstellen.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/stacksets_perms_master_target.png)
------
#### [ Administrator account ]
Erstellen Sie im Administratorkonto eine IAM-Rolle mit dem Namen **AWSCloudFormationStackSetAdministrationRole**.
Sie können dies tun, indem Sie einen Stack aus der CloudFormation Vorlage erstellen, die unter [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetAdministrationRole.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetAdministrationRole.yml) verfügbar ist.
**Example Beispiel für eine Berechtigungsrichtlinie**
Die mit der vorangegangenen Vorlage erstellte Administrationsrolle enthält die folgende Berechtigungsrichtlinie.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole"
],
"Effect": "Allow"
}
]
}
```
**Example Beispiel Treuhandvertrag 1**
Die vorangehende Vorlage enthält auch die folgende Vertrauensrichtlinie, die dem Dienst die Berechtigung zur Verwendung der Administrationsrolle und der mit der Rolle verbundenen Berechtigungen erteilt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
**Example Beispiel Treuhandvertrag 2**
Wenn Sie Stack-Instances in einem Zielkonto bereitstellen möchten, das sich in einer Region befindet, die standardmäßig deaktiviert ist, müssen Sie auch den regionalen Dienstprinzipal für diese Region angeben. Jede standardmäßig deaktivierte Region verfügt über einen eigenen regionalen Service-Prinzipal.
Die folgende Beispiel-Vertrauensrichtlinie gewährt dem Dienst die Berechtigung zur Verwendung der Administrationsrolle in der Region Asien-Pazifik (Hongkong) (`ap-east-1`), einer Region, die standardmäßig deaktiviert ist.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"cloudformation.amazonaws.com",
"cloudformation.ap-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Weitere Informationen finden Sie unter [Bereiten Sie sich auf die Ausführung von StackSet Vorgängen vor AWS-Regionen , die standardmäßig deaktiviert sind](stacksets-opt-in-regions.md). Eine Liste der Regionalcodes finden Sie unter [Regionale Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints) in der *Allgemeine AWS-Referenz Anleitung*.
------
#### [ Target accounts ]
Erstellen Sie in jedem Zielkonto eine Servicerolle mit dem Namen **AWSCloudFormationStackSetExecutionRole**, dass dem Administratorkonto vertraut. Die Rolle muss genau diesen Namen haben. Sie können dies tun, indem Sie einen Stack aus der CloudFormation Vorlage erstellen, die unter [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetExecutionRole.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetExecutionRole.yml) verfügbar ist. Wenn Sie diese Vorlage verwenden, werden Sie aufgefordert, die Konto-ID des Administratorkontos anzugeben, mit dem Ihr Zielkonto eine Vertrauensbeziehung haben muss.
**Wichtig**
Beachten Sie, dass diese Vorlage Administratorzugriff gewährt. Nachdem Sie die Vorlage verwendet haben, um eine Ausführungsrolle für ein Zielkonto zu erstellen, müssen Sie die Berechtigungen in der Richtlinienanweisung auf die Ressourcentypen beschränken, die Sie verwenden. StackSets
Für die Servicerolle des Zielkontos sind Berechtigungen erforderlich, um alle in Ihrer CloudFormation Vorlage angegebenen Vorgänge ausführen zu können. Wenn Ihre Vorlage beispielsweise einen S3-Bucket erstellt, benötigen Sie Berechtigungen zum Erstellen neuer Objekte für S3. Ihr Zielkonto benötigt immer vollständige CloudFormation -Berechtigungen, darunter die Berechtigungen zum Erstellen, Aktualisieren, Löschen und Beschreiben von Stacks.
**Example Beispiel Berechtigungsrichtlinie 1**
Die mit dieser Vorlage erstellte Rolle aktiviert die folgende Richtlinie in einem Zielkonto.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
```
**Example Beispiel Berechtigungsrichtlinie 2**
Das folgende Beispiel zeigt eine Richtlinienerklärung mit den *Mindestberechtigungen* StackSets , um zu funktionieren. Um Stapel in Zielkonten zu erstellen, die Ressourcen von anderen Diensten als verwenden CloudFormation, müssen Sie diese Dienstaktionen und Ressourcen zur **AWSCloudFormationStackSetExecutionRole**Richtlinienerklärung für jedes Zielkonto hinzufügen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
**Example Beispiel für eine Treuhand-Police**
Die folgende Vertrauensbeziehung wird durch die Vorlage erstellt. Die ID des Administratorkontos wird als *admin\$1account\$1id* angezeigt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
Sie können die Vertrauensbeziehung einer vorhandenen Ausführungsrolle für ein Zielkonto so konfigurieren, dass sie einer bestimmten Rolle im Administratorkonto vertraut. Wenn Sie die Rolle im Administratorkonto löschen und eine neue erstellen, um sie zu ersetzen, müssen Sie die Vertrauensstellung Ihres Zielkontos mit der neuen Administratorkontorolle konfigurieren, wie *admin\$1account\$1id* im vorherigen Beispiel dargestellt.
------
## Richten Sie erweiterte Berechtigungsoptionen für StackSet Operationen ein
Wenn Sie eine genauere Kontrolle darüber benötigen StackSets , was Benutzer und Gruppen über ein einziges Administratorkonto erstellen, können Sie mithilfe von IAM-Rollen Folgendes angeben:
+ Welche Benutzer und Gruppen StackSet Operationen in welchen Zielkonten ausführen können.
+ Welche Ressourcen Benutzer und Gruppen in ihre aufnehmen können StackSets.
+ Welche StackSet Operationen bestimmte Benutzer und Gruppen ausführen können.
### Steuern Sie, welche Benutzer StackSet Operationen in bestimmten Zielkonten ausführen können
Verwenden Sie benutzerdefinierte Administratorrollen, um zu steuern, welche Benutzer und Gruppen StackSet Operationen in welchen Zielkonten ausführen können. Möglicherweise möchten Sie steuern, welche Benutzer des Administratorkontos StackSet Operationen in welchen Zielkonten ausführen können. Zu diesem Zweck erstellen Sie eine Vertrauensbeziehung zwischen jedem Zielkonto und einer bestimmten benutzerdefinierten Administratorrolle, anstatt die **AWSCloudFormationStackSetAdministrationRole**Servicerolle im Administratorkonto selbst zu erstellen. Anschließend aktivieren Sie bestimmte Benutzer und Gruppen, um die benutzerdefinierte Administratorrolle bei der Ausführung von StackSet Vorgängen in einem bestimmten Zielkonto zu verwenden.
Sie können beispielsweise in Ihrem Administratorkonto die Rollen A und B erstellen. Rolle A erhält die Berechtigung zum Zugriff auf Zielkonto 1 über Konto 8. Rolle B erhält die Berechtigung zum Zugriff auf Zielkonto 9 über Konto 16.
![\[Eine Vertrauensbeziehung zwischen einer benutzerdefinierten Administratorrolle und Zielkonten, die es Benutzern ermöglicht, eine zu erstellen StackSet.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/stacksets_perms_admin_target.png)
Das Einrichten der erforderlichen Berechtigungen umfasst das Definieren einer benutzerdefinierten Administratorrolle, das Erstellen einer Servicerolle für das Zielkonto und das Erteilen der Berechtigungen für Benutzer, die benutzerdefinierte Administratorrolle bei der Ausführung von StackSet Vorgängen zu übergeben.
Im Allgemeinen funktioniert das wie folgt, sobald Sie über die erforderlichen Berechtigungen verfügen: Beim Erstellen einer StackSet muss der Benutzer eine benutzerdefinierte Administratorrolle angeben. Der Benutzer benötigt die Berechtigung zum Übergeben der Rolle an CloudFormation. Darüber hinaus muss die benutzerdefinierte Administratorrolle über eine Vertrauensbeziehung zu den Zielkonten verfügen, die für die angegeben sind StackSet. CloudFormation erstellt die benutzerdefinierte Verwaltungsrolle StackSet und ordnet ihr die benutzerdefinierte Administratorrolle zu. Beim Aktualisieren einer StackSet muss der Benutzer explizit eine benutzerdefinierte Administratorrolle angeben, auch wenn es sich um dieselbe benutzerdefinierte Administratorrolle handelt, die StackSet zuvor für diese Rolle verwendet wurde. CloudFormationverwendet diese Rolle, um den Stack zu aktualisieren, sofern die oben genannten Anforderungen erfüllt sind.
------
#### [ Administrator account ]
**Example Beispiel für eine Berechtigungsrichtlinie**
Erstellen Sie für jede StackSet Rolle eine benutzerdefinierte Administratorrolle mit der Berechtigung, die Ausführungsrolle des Zielkontos zu übernehmen.
Der Name der Ausführungsrolle des Zielkontos muss in jedem Zielkonto derselbe sein. Wenn der Rollenname lautet **AWSCloudFormationStackSetExecutionRole**, wird er automatisch beim Erstellen einer StackSets verwendet StackSet. Wenn Sie einen benutzerdefinierten Rollennamen angeben, müssen Benutzer den Namen der Ausführungsrolle beim Erstellen einer angeben StackSet.
Erstellen Sie eine [IAM-Dienstrolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) mit einem benutzerdefinierten Namen und der folgenden Berechtigungsrichtlinie. In den folgenden Beispielen *custom\$1execution\$1role* bezieht sich dies auf die Ausführungsrolle in den Zielkonten.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/custom_execution_role"
],
"Effect": "Allow"
}
]
}
```
Wenn Sie mehrere Konten in einer einzigen Anweisung angeben möchten, trennen Sie diese durch Kommas.
```
"Resource": [
"arn:aws:iam::target_account_id_1:role/custom_execution_role",
"arn:aws:iam::target_account_id_2:role/custom_execution_role"
]
```
Sie können alle Zielkonten angeben, indem Sie einen Platzhalter (\$1) anstelle einer Konto-ID verwenden.
```
"Resource": [
"arn:aws:iam::*:role/custom_execution_role"
]
```
**Example Beispiel Treuhandvertrag 1**
Sie müssen eine Vertrauensrichtlinie für die Dienstrolle erstellen, um festzulegen, welche IAM-Principals die Rolle übernehmen können.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
**Example Beispiel Treuhandvertrag 2**
Wenn Sie Stack-Instances in einem Zielkonto bereitstellen möchten, das sich in einer Region befindet, die standardmäßig deaktiviert ist, müssen Sie auch den regionalen Dienstprinzipal für diese Region angeben. Jede standardmäßig deaktivierte Region verfügt über einen eigenen regionalen Service-Prinzipal.
Die folgende Beispiel-Vertrauensrichtlinie gewährt dem Dienst die Berechtigung zur Verwendung der Administrationsrolle in der Region Asien-Pazifik (Hongkong) (`ap-east-1`), einer Region, die standardmäßig deaktiviert ist.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"cloudformation.amazonaws.com",
"cloudformation.ap-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Weitere Informationen finden Sie unter [Bereiten Sie sich auf die Ausführung von StackSet Vorgängen vor AWS-Regionen , die standardmäßig deaktiviert sind](stacksets-opt-in-regions.md). Eine Liste der Regionalcodes finden Sie unter [Regionale Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints) im *AWS Allgemeinen Referenzhandbuch*.
**Example Beispiel einer Pass-Rollen-Richtlinie**
Sie benötigen außerdem eine IAM-Berechtigungsrichtlinie für Ihre IAM-Benutzer, die es dem Benutzer ermöglicht, bei der Ausführung StackSet von Vorgängen die benutzerdefinierte Administratorrolle zu übergeben. Weitere Informationen finden Sie unter [Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS -Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html).
Im folgenden Beispiel *customized\$1admin\$1role* bezieht sich dies auf die Administratorrolle, die der Benutzer bestehen muss.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/customized_admin_role"
}
]
}
```
------
#### [ Target accounts ]
Erstellen Sie in jedem Zielkonto eine Service-Rolle, die der benutzerdefinierten Administrationsrolle vertraut, die Sie mit diesem Konto verwenden möchten.
Für die Rolle des Zielkontos sind Berechtigungen erforderlich, um alle in Ihrer CloudFormation Vorlage angegebenen Vorgänge ausführen zu können. Wenn Ihre Vorlage beispielsweise einen S3-Bucket erstellt, benötigen Sie Berechtigungen zum Erstellen neuer Objekte in S3. Ihr Zielkonto benötigt immer volle CloudFormation Berechtigungen, zu denen auch Berechtigungen zum Erstellen, Aktualisieren, Löschen und Beschreiben von Stacks gehören.
Der Rollenname des Zielkontos muss in jedem Zielkonto derselbe sein. Wenn der Rollenname lautet **AWSCloudFormationStackSetExecutionRole**, wird er automatisch beim Erstellen eines StackSets StackSet verwendet. Wenn Sie einen benutzerdefinierten Rollennamen angeben, müssen Benutzer den Namen der Ausführungsrolle beim Erstellen einer angeben StackSet.
**Example Beispiel für eine Berechtigungsrichtlinie**
Das folgende Beispiel zeigt eine Richtlinienanweisung mit den *Mindestberechtigungen* StackSets , um zu funktionieren. Um Stacks in Zielkonten zu erstellen, die Ressourcen von anderen Diensten als verwenden CloudFormation, müssen Sie diese Dienstaktionen und Ressourcen zur Berechtigungsrichtlinie hinzufügen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
**Example Beispiel für eine Treuhand-Police**
Sie müssen die folgende Vertrauensrichtlinie angeben, wenn Sie die Rolle erstellen, um die Vertrauensbeziehung zu definieren.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/customized_admin_role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Steuern Sie die Ressourcen, die Benutzer in bestimmten Fällen einbeziehen können StackSets
Verwenden Sie benutzerdefinierte Ausführungsrollen, um zu steuern, welche Stack-Ressourcen Benutzer und Gruppen in ihre Rollen aufnehmen können StackSets. Beispielsweise möchten Sie möglicherweise eine Gruppe einrichten, die nur Amazon S3-bezogene Ressourcen in die von StackSets ihnen erstellten Dateien einbeziehen kann, während ein anderes Team nur DynamoDB-Ressourcen einbeziehen kann. Dazu erstellen Sie eine Vertrauensbeziehung zwischen der angepassten Administrationsrolle für jede Gruppe und einer angepassten Ausführungsrolle für jede Gruppe von Ressourcen. Die benutzerdefinierte Ausführungsrolle definiert, in welche Stack-Ressourcen aufgenommen werden können. StackSets Die benutzerdefinierte Administratorrolle befindet sich im Administratorkonto, während sich die benutzerdefinierte Ausführungsrolle in jedem Zielkonto befindet, in dem Sie StackSets mithilfe der definierten Ressourcen etwas erstellen möchten. Anschließend aktivieren Sie bestimmte Benutzer und Gruppen, um die benutzerdefinierte Administratorrolle bei der Ausführung StackSets von Vorgängen zu verwenden.
Sie können zum Beispiel benutzerdefinierte Administrationsrollen A, B und C im Administratorkonto erstellen. Benutzer und Gruppen mit der Berechtigung zur Verwendung von Rolle A können Ressourcen erstellen, die die Stack-Ressourcen StackSets enthalten, die speziell in der benutzerdefinierten Ausführungsrolle X aufgeführt sind, aber nicht die Ressourcen in den Rollen Y oder Z oder Ressourcen, die in keiner Ausführungsrolle enthalten sind.
![\[Eine Vertrauensbeziehung zwischen einer benutzerdefinierten Administratorrolle und einer benutzerdefinierten Ausführungsrolle in Zielkonten, sodass Benutzer eine erstellen können StackSet.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/stacksets_perms_admin_execution.png)
Beim Aktualisieren einer StackSet muss der Benutzer explizit eine benutzerdefinierte Administratorrolle angeben, auch wenn es sich um dieselbe benutzerdefinierte Administratorrolle handelt, die StackSet zuvor für diese Rolle verwendet wurde. CloudFormation führt das Update mit der angegebenen benutzerdefinierten Administratorrolle durch, sofern der Benutzer über die entsprechenden Berechtigungen verfügt StackSet.
Entsprechend kann der Benutzer auch eine benutzerdefinierte Ausführungsrolle angeben. Wenn sie eine benutzerdefinierte Ausführungsrolle angeben, CloudFormation verwendet diese Rolle, um den Stack zu aktualisieren, sofern die oben genannten Anforderungen erfüllt sind. Wenn der Benutzer keine benutzerdefinierte Ausführungsrolle angibt, CloudFormation führt er das Update mithilfe der benutzerdefinierten Ausführungsrolle durch, die zuvor mit der verknüpft war StackSet, sofern der Benutzer berechtigt ist, Operationen an dieser Rolle auszuführen StackSet.
------
#### [ Administrator account ]
Erstellen Sie eine angepasste Administrationsrolle in Ihrem Administratorkonto, wie in [Steuern Sie, welche Benutzer StackSet Operationen in bestimmten Zielkonten ausführen können](#stacksets-prereqs-multiadmin)beschrieben. Fügen Sie eine Vertrauensbeziehung zwischen der benutzerdefinierten Administrationsrolle und den benutzerdefinierten Ausführungsrollen ein, die sie verwenden soll.
**Example Beispiel für eine Berechtigungsrichtlinie**
Das folgende Beispiel ist eine Berechtigungsrichtlinie sowohl für die für das Zielkonto **AWSCloudFormationStackSetExecutionRole**definierten als auch für eine benutzerdefinierte Ausführungsrolle.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1487980684000",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole",
"arn:aws:iam::*:role/custom_execution_role"
]
}
]
}
```
------
#### [ Target accounts ]
Erstellen Sie in den Zielkonten, in denen Sie Ihre erstellen möchten StackSets, eine benutzerdefinierte Ausführungsrolle, die Berechtigungen für die Dienste und Ressourcen gewährt, zu denen Benutzer und Gruppen berechtigt sein sollen StackSets.
**Example Beispiel für eine Berechtigungsrichtlinie**
Das folgende Beispiel bietet die Mindestberechtigungen für StackSets sowie die Berechtigung zum Erstellen von Amazon DynamoDB-Tabellen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"dynamoDb:createTable"
],
"Resource": "*"
}
]
}
```
**Example Beispiel für eine Treuhand-Police**
Sie müssen die folgende Vertrauensrichtlinie angeben, wenn Sie die Rolle erstellen, um die Vertrauensbeziehung zu definieren.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/customized_admin_role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Richten Sie Berechtigungen für bestimmte Operationen ein StackSet
Darüber hinaus können Sie Berechtigungen einrichten, mit denen Benutzer und Gruppen bestimmte StackSet Operationen ausführen können, z. B. Instanzen erstellen, aktualisieren, löschen StackSets oder stapeln können. Weitere Informationen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für CloudFormation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html) in der *Service-Autorisierungs-Referenz*.
## Richten Sie globale Schlüssel ein, um Confused-Deputy-Probleme zu mindern.
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. Bei einem AWS dienstübergreifenden Identitätswechsel kann es zu einem Problem mit dem verwirrten Stellvertreter kommen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der *Anruf-Service*) einen anderen Service anruft (den *aufgerufenen Service*). Der Anruf-Service kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, AWS bietet Tools, mit denen Sie Ihre Daten für alle Dienste mit Dienstprinzipalen schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, CloudFormation StackSets die der Ressource einen anderen Dienst gewähren. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:cloudformation::123456789012:*`. Verwenden Sie nach Möglichkeit `aws:SourceArn`, da es spezifischer ist. Verwenden Sie `aws:SourceAccount` nur wenn Sie den richtigen ARN oder das ARN-Muster nicht ermitteln können.
When StackSets übernimmt die **Administratorrolle** in Ihrem **Administratorkonto** und StackSets füllt Ihre **Administratorkonto-ID** und Ihren StackSets Amazon-Ressourcennamen (ARN) aus. Sie können daher Bedingungen für die [globalen Schlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) `aws:SourceAccount` und `aws:SourceArn` in den Vertrauensbeziehungen definieren, um [Confused-Deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)-Probleme zu vermeiden. Das folgende Beispiel zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globale Bedingung verwenden können, StackSets um das Problem des verwirrten Stellvertreters zu vermeiden.
------
#### [ Administrator account ]
**Example Globale Schlüssel für `aws:SourceAccount` und `aws:SourceArn`**
Definieren Sie bei der Verwendung StackSets die globalen Schlüssel `aws:SourceAccount` und `aws:SourceArn` in Ihrer **AWSCloudFormationStackSetAdministrationRole**Vertrauensrichtlinie, um Probleme mit verwirrenden Stellvertretern zu vermeiden.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cloudformation:*:111122223333:stackset/*"
}
}
}
]
}
```
**Example StackSets ARNs**
Geben Sie StackSets ARNs für eine genauere Kontrolle Ihren zugehörigen Namen an.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": [
"arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-1",
"arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-2"
]
}
}
}
]
}
```
------
# Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations
Dieses Thema enthält Anweisungen zur Aktivierung des vertrauenswürdigen Zugriffs mit AWS Organizations. Dies ist für die kontenübergreifende Bereitstellung und StackSets die AWS-Regionen Verwendung von *dienstverwalteten* Berechtigungen erforderlich. Um *selbstverwaltete* Berechtigungen zu verwenden, lesen Sie stattdessen [Selbstverwaltete Berechtigungen erteilen](stacksets-prereqs-self-managed.md) .
Bevor Sie eine StackSet mit vom Dienst verwalteten Berechtigungen erstellen, müssen Sie zunächst die folgenden Aufgaben ausführen:
+ [Aktivieren Sie alle Funktionen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) in AWS Organizations. Wenn nur Funktionen für die konsolidierte Abrechnung aktiviert sind, können Sie keine StackSet mit vom Service verwalteten Berechtigungen erstellen.
+ Aktivieren Sie den vertrauenswürdigen Zugriff mit AWS Organizations. Diese Aktion ermöglicht CloudFormation das Erstellen einer dienstbezogenen Rolle im Verwaltungskonto. Wenn Sie nach der Aktivierung des vertrauenswürdigen Zugriffs eine StackSet mit vom Dienst verwalteten Berechtigungen erstellen, werden sowohl die erforderliche dienstverknüpfte Rolle als auch eine Servicerolle CloudFormation erstellt, die `stacksets-exec-*` in den Zielkonten (Mitgliedskonten) benannt ist.
Wenn der vertrauenswürdige Zugriff aktiviert ist, können das Verwaltungskonto und die delegierten Administratorkonten dienstverwaltete StackSets Konten für ihre Organisation erstellen und verwalten.
Um den vertrauenswürdigen Zugriff zu aktivieren, müssen Sie ein Administrator-Benutzer im Verwaltungskonto sein. Ein *Administrator-Benutzer* ist ein Benutzer mit vollen Rechten für Ihr AWS-Konto. Weitere Informationen finden Sie in [Erstellen eines Administratorbenutzers](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html) im *AWS -Kontenverwaltung Referenzhandbuch*. Empfehlungen zum Schutz der Sicherheit des Verwaltungskontos finden Sie unter [Best Practices für das Verwaltungskonto](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) im *AWS Organizations -Benutzerhandbuch*.
**So aktivieren Sie den vertrauenswürdigen Zugriff**
1. Melden Sie sich AWS als Administrator des Verwaltungskontos an und öffnen Sie die CloudFormation Konsole unter. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation)
1. **StackSets**. Wenn der vertrauenswürdige Zugriff deaktiviert ist, wird ein Banner mit einem Prompt angezeigt, den vertrauenswürdigen Zugriff zu aktivieren.
![\[Banner „Vertrauenswürdigen Zugriff aktivieren“\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/console-stacksets-enable-trusted-access-from-stacksets-list-new.png)
1. Wählen Sie **Vertrauenswürdigen Zugriff aktivieren** aus.
Der vertrauenswürdige Zugriff ist erfolgreich aktiviert, wenn das folgende Banner angezeigt wird.
![\[Banner „Vertrauenswürdiger Zugriff erfolgreich aktiviert“\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/console-stackset-trusted-access-enabled-banner-new.png)
**Anmerkung**
„Organisationszugriff aktivieren“ ist dasselbe wie „Organisationszugriff aktivieren“ und „Organisationszugriff deaktivieren“ ist dasselbe wie „Organisationszugriff deaktivieren“. Diese Bedingungen wurden auf der Grundlage von Marketingrichtlinien aktualisiert.
**Deaktivieren des vertrauenswürdigen Zugriffs**
Weitere Informationen finden Sie unter [CloudFormation StackSets und AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) im *AWS Organizations Benutzerhandbuch*.
Bevor Sie den vertrauenswürdigen Zugriff mit deaktivieren können AWS Organizations, müssen Sie alle delegierten Administratoren abmelden. Weitere Informationen finden Sie unter [Einen delegierten Administrator registrieren](stacksets-orgs-delegated-admin.md).
**Anmerkung**
Informationen über die Verwendung von API-Vorgängen anstelle der Konsole, um den vertrauenswürdigen Zugriff zu aktivieren oder zu deaktivieren, finden Sie unter:
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html)
## Service-verknüpfte Rollen
Das Verwaltungskonto verwendet die dienstverknüpfte Rolle. **AWSServiceRoleForCloudFormationStackSetsOrgAdmin** Sie können diese Rolle nur ändern oder löschen, wenn der vertrauenswürdige Zugriff mit AWS Organizations deaktiviert ist.
Jedes Zielkonto verwendet eine **AWSServiceRoleForCloudFormationStackSetsOrgMember**dienstverknüpfte Rolle. Sie können diese Rolle nur unter zwei Bedingungen ändern oder löschen: wenn der vertrauenswürdige Zugriff mit deaktiviert AWS Organizations ist oder wenn das Konto aus der Zielorganisation oder Organisationseinheit (OU) entfernt wird.
Weitere Informationen finden Sie unter [CloudFormation StackSets und AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) im *AWS Organizations Benutzerhandbuch*.
# Registrieren Sie ein Mitgliedskonto für delegierte Administratoren
Zusätzlich zum Verwaltungskonto Ihrer Organisation können Mitgliedskonten mit delegierten Administratorberechtigungen dienstverwaltete Berechtigungen für die Organisation erstellen und verwalten StackSets . StackSets mit vom Dienst verwalteten Berechtigungen werden im Verwaltungskonto erstellt, auch solche, die von delegierten Administratoren StackSets erstellt wurden. Um als delegierter Administrator für Ihre Organisation registriert zu sein, muss Ihr Mitgliedskonto in der Organisation sein. Weitere Informationen zum Beitritt zu einer Organisation finden Sie unter Einen zum Beitritt [AWS-Konto zu Ihrer Organisation einladen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
Ihre Organisation kann bis zu fünf registrierte delegierte Administratoren gleichzeitig haben. Delegierte Administratoren können wählen, ob die Bereitstellung für alle Konten in Ihrer Organisation oder für bestimmte OUs Konten erfolgen soll. Der vertrauenswürdige Zugriff mit AWS Organizations muss aktiviert werden, bevor delegierte Administratoren die Bereitstellung auf Konten vornehmen können, die von Organizations verwaltet werden. Weitere Informationen finden Sie unter [Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations](stacksets-orgs-activate-trusted-access.md).
**Wichtig**
Bitte beachten Sie die folgenden Hinweise:
Delegierte Administratoren haben volle Berechtigungen für die Bereitstellung auf Konten Ihrer Organisation. Das Verwaltungskonto kann delegierte Administratorrechte nicht auf die Bereitstellung auf bestimmte Vorgänge OUs oder die Ausführung bestimmter StackSet Vorgänge beschränken.
Vergewissern Sie sich, dass Ihre delegierten Administratoren über `organizations:ListDelegatedAdministrators`-Berechtigungen verfügen, um mögliche Fehler zu vermeiden.
Sie können delegierte Administratoren für Ihre Organisation in den folgenden Regionen registrieren: USA Ost (Ohio), USA Ost (Nord-Virginia), USA West (Nordkalifornien), USA West (Oregon), Asien-Pazifik (Mumbai), Asien-Pazifik (Seoul), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney), Asien-Pazifik (Tokio), Kanada (Zentral), Europa (Frankfurt), Europa (Irland), Europa (London), Europa (Paris), Europa (Stockholm), Israel (Tel Aviv), Südamerika (São Paulo), AWS GovCloud (US-Ost) und AWS GovCloud (US-West).
Sie können delegierte Administratoren mit der [CloudFormation Konsole](https://console.aws.amazon.com/cloudformation/), [AWS CLI](https://aws.amazon.com/cli/), oder registrieren und deregistrieren [AWS SDKs](https://aws.amazon.com/developer/tools/).
## So registrieren Sie einen delegierten Administrator (Konsole)
1. Melden Sie sich AWS als Administrator des Verwaltungskontos an und öffnen Sie die CloudFormation Konsole unter. [https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/)
1. **StackSets**.
1. Wählen Sie unter **Delegierte Administratoren** die Option **Delegierten Administrator registrieren** aus.
1. Wählen Sie im Dialogfeld **Delegierten Administrator registrieren** die Option **Delegierten Administrator registrieren** aus.
Die Erfolgsmeldung zeigt an, dass das Mitgliedskonto erfolgreich als delegierter Administrator registriert wurde.
## So heben Sie die Registrierung eines delegierten Administrators auf (Konsole)
1. Melden Sie sich AWS als Administrator des Verwaltungskontos an und öffnen Sie die CloudFormation Konsole unter[https://console.aws.amazon.com/](https://console.aws.amazon.com/).
1. **StackSets**.
1. Wählen Sie unter **Delegierte Administratoren** das Konto aus, das Sie abmelden möchten, und wählen Sie dann **Registrierung aufheben** aus.
Die Erfolgsmeldung zeigt an, dass das Mitgliedskonto erfolgreich als delegierter Administrator abgemeldet wurde.
Sie können dieses Konto jederzeit wieder registrieren.
## Um einen delegierten Administrator zu registrieren ()AWS CLI
1. Öffnen Sie das AWS CLI.
1. Führen Sie den Befehl `register-delegated-administrator` aus.
```
$ aws organizations register-delegated-administrator \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com \
--account-id="memberAccountId"
```
1. Führen Sie den Befehl `list-delegated-administrators` aus, um zu überprüfen, ob das angegebene Mitgliedskonto erfolgreich als delegierter Administrator registriert wurde.
```
$ aws organizations list-delegated-administrators \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com
```
## Um einen delegierten Administrator abzumelden ()AWS CLI
1. Öffnen Sie das. AWS CLI
1. Führen Sie den Befehl `deregister-delegated-administrator` aus.
```
$ aws organizations deregister-delegated-administrator \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com \
--account-id="memberAccountId"
```
1. Führen Sie den Befehl `list-delegated-administrators` aus, um zu überprüfen, ob das angegebene Mitgliedskonto erfolgreich als delegierter Administrator abgemeldet wurde.
```
$ aws organizations list-delegated-administrators \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com
```
Sie können dieses Konto jederzeit wieder registrieren.
# Erste Schritte mit StackSets der Verwendung einer Beispielvorlage
Dieses Tutorial hilft Ihnen beim Einstieg in die StackSets Verwendung von AWS-Managementkonsole. Es führt Sie durch die Erstellung einer Vorlage StackSet anhand einer Beispielvorlage. Sie erfahren, wie Sie Stacks in mehreren Regionen bereitstellen, StackSet Abläufe überwachen und sich die Ergebnisse ansehen.
In diesem Tutorial erstellen Sie eine, StackSet die AWS Config AWS-Konto in Ihren Regionen USA West (Oregon) (`us-west-2`) und USA Ost (Nord-Virginia) () aktiviert wird. `us-east-1` Mit StackSets können Sie Stacks für mehrere Konten und Regionen mit einem einzigen Vorgang erstellen, aktualisieren oder löschen, was es zu einer idealen Lösung für die Verwaltung von Infrastrukturen in großem Maßstab macht. In diesem Tutorial wird zwar der Einfachheit halber ein einziges Konto verwendet, es zeigt jedoch effektiv die regionsübergreifenden Funktionen von. StackSets
Die Beispielvorlage ist im folgenden S3-Bucket verfügbar: [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/Enable AWSConfig .yml.](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSConfig.yml)
**Anmerkung**
StackSets ist kostenlos, aber die AWS Ressourcen, die Sie damit erstellen, werden Ihnen in Rechnung gestellt, wie AWS Config in diesem Tutorial. Weitere Informationen finden Sie unter [AWS Config Preise](https://aws.amazon.com/config/pricing/).
**Topics**
+ [Voraussetzungen](#stacksets-tutorial-prerequisites)
+ [Erstellen Sie eine Vorlage StackSet mit einer Beispielvorlage aus der Konsole](#stacksets-tutorial-create-stackset)
+ [Überwachen Sie StackSet die Erstellung](#stacksets-tutorial-monitor-creation)
+ [StackSet Ergebnisse anzeigen](#stacksets-tutorial-view-results)
+ [Aktualisieren Sie Ihre StackSet](#stacksets-tutorial-update-stackset)
+ [Füge Stapel zu deinem hinzu StackSet](#stacksets-tutorial-add-stacks)
+ [Bereinigen](#stacksets-tutorial-clean-up)
+ [Nächste Schritte](#stacksets-tutorial-next-steps)
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen, sollten Sie sicherstellen, dass Sie die folgenden Voraussetzungen erfüllt haben:
+ Sie müssen die erforderlichen IAM-Rollen für selbstverwaltete Berechtigungen eingerichtet haben. Um Stacks in einem einzigen Konto zu erstellen StackSet und bereitzustellen, benötigen Sie die folgenden Rollen in Ihrem Konto:
+ `AWSCloudFormationStackSetAdministrationRole`
+ `AWSCloudFormationStackSetExecutionRole`
Eine ausführliche Anleitung zur Einrichtung dieser Rollen finden Sie unter [Selbstverwaltete Berechtigungen erteilen](stacksets-prereqs-self-managed.md).
## Erstellen Sie eine Vorlage StackSet mit einer Beispielvorlage aus der Konsole
**Um eine zu erstellen StackSet , die Folgendes ermöglicht AWS Config**
1. Öffnen Sie die [CloudFormation-Konsole](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm die AWS-Region aus, von der StackSet aus Sie das verwalten möchten.
Sie können jede Region auswählen, die unterstützt wird StackSets. Die Region, die Sie auswählen, hat keinen Einfluss darauf, in welchen Regionen Sie mit Ihrem bereitstellen können StackSet.
1. **StackSets**.
1. Wählen Sie oben **StackSets**auf der Seite die Option **Erstellen** aus StackSet.
1. Wählen Sie unter **Berechtigungen**die Option **Self-Service-Berechtigungen** und wählen Sie die IAM-Rollen, die Sie in den Voraussetzungen erstellt haben.
+ Wählen Sie für die IAM-Administratorrolle die Option **AWSCloudFormationStackSetAdministrationRole**.
+ Wählen Sie für den Namen der IAM-Ausführungsrolle die Option. **AWSCloudFormationStackSetExecutionRole**
1. Wählen Sie unter **Prerequisite - Prepare template (Voraussetzung: Vorbereiten der Vorlage)** die Option **Use a sample template (Beispielvorlage verwenden)** aus.
1. Wählen Sie unter **Wählen Sie eine Mustervorlage**die Vorlage **Aktivieren AWS Config** . Wählen Sie anschließend **Weiter**.
Diese Vorlage erstellt die Ressourcen, die für die Aktivierung AWS Config in Ihrem Konto erforderlich sind, einschließlich eines Konfigurationsrekorders und eines Bereitstellungskanals.
1. Geben Sie auf der Seite „** StackSet Details angeben**“ als **StackSet Namen** ein**my-awsconfig-stackset**.
1. Geben Sie als **StackSet Beschreibung** ein**A StackSet that enables Config across multiple Regions**.
1. Konfigurieren Sie unter **Parameter** die AWS Config Einstellungen wie folgt:
1. Behalten Sie für **Alle Ressourcentypen unterstützen**den Standardwert bei, **true**, um alle unterstützten Ressourcentypen zu erfassen.
1. Behalten Sie für **Globale Ressourcentypen einschließen**den Standardwert bei, **false**, um globale Ressourcen wie IAM-Rollen auszuschließen.
1. Lassen Sie **Liste der Ressourcentypen, wenn nicht alle unterstützt werden** auf ****gesetzt.
1. Ersetzen Sie **< DeployToAnyRegion >** für **Die Region, die die mit dem Dienst Config verknüpfte Rollenressource enthält**, durch. **us-west-2**
Das bedeutet, dass die servicegebundene Rolle mit dem Namen `AWSServiceRoleForConfig` nur erstellt wird, wenn ein Stack in der Region US West (Oregon) eingesetzt wird. Sie werden die Einsatzregionen später in diesem Verfahren auswählen.
1. Für **Konfiguration Rekorder Aufzeichnungshäufigkeit**, wählen Sie **TÄGLICH** Aufzeichnung.
1. Wählen Sie **Next** (Weiter), um fortzufahren.
1. Wählen Sie auf der Seite mit den ** StackSet Konfigurationsoptionen** die Option **Neues Tag hinzufügen** aus und fügen Sie ein Tag hinzu, indem Sie ein Schlüssel- und Wertepaar angeben:
1. Geben Sie für **Key (Schlüssel)** **Stage** ein.
1. Geben Sie für **Wert** **Test** ein.
Tags, auf die Sie StackSets sich beziehen, werden auf Ressourcen angewendet, die durch Ihre Stacks erstellt wurden.
1. Wählen Sie für die **Ausführungskonfiguration** die Option **Aktiv** aus, um CloudFormation die optimierte Betriebsbehandlung zu aktivieren:
+ Nicht konkurrierende Operationen werden gleichzeitig ausgeführt, um die Einsatzzeiten zu verkürzen.
+ Sich widersprechende Vorgänge werden automatisch in eine Warteschlange gestellt und in der Reihenfolge bearbeitet, in der sie angefordert wurden.
Während der Ausführung von Vorgängen oder in der Warteschlange stehen, werden alle eingehenden Vorgänge in CloudFormation die Warteschlange gestellt, auch wenn sie nicht miteinander in Konflikt stehen. Während dieser Zeit können Sie die Ausführungseinstellungen nicht ändern.
1. Wählen Sie **Weiter** aus.
1. **Wählen Sie auf der Seite **Bereitstellungsoptionen festlegen** für Stacks **hinzufügen zu die Option Neue Stacks bereitstellen StackSet** aus.**
1. Wählen Sie für **Accounts (Konten)** die Option **Deploy stacks in accounts (Stacks in Konten bereitstellen)** aus.
1. Geben Sie in das Textfeld Ihre AWS-Konto ID ein.
1. Wählen Sie für **Regionen angeben**die folgenden Regionen in dieser Reihenfolge:
1. Region US West (Oregon) (`us-west-2`)
1. Region USA Ost (Nord-Virginia) (`us-east-1`)
Verwenden Sie den Pfeil nach oben neben der Region US West (Oregon), um sie bei Bedarf an den ersten Eintrag in der Liste zu verschieben. Die Reihenfolge der Regionen bestimmt ihre Einsatzreihenfolge.
1. Konfigurieren Sie für **Einsatzoptionen**die folgenden Einstellungen:
1. Für **Maximum concurrent accounts** (Maximale Anzahl paralleler Konten) behalten Sie die Standardwerte **Number** (Zahl) und **1** bei.
Bei Bereitstellungen mit mehreren Konten bedeutet diese Einstellung, dass Ihr Stack jeweils nur in einem Konto CloudFormation bereitgestellt wird.
1. Behalten Sie für **Failure tolerance (Fehlertoleranz)** die Standardwerte **Number (Zahl)** und **0** bei.
Das bedeutet, dass maximal Null-Stack-Bereitstellungen in einer der von Ihnen angegebenen Regionen fehlschlagen können, bevor die Bereitstellung in der aktuellen Region CloudFormation gestoppt und Bereitstellungen in den übrigen Regionen storniert werden.
1. Für **Regionale Gleichzeitigkeit**wählen Sie **Sequentiell** (Standard).
Diese Einstellung stellt sicher, dass Bereitstellungen in einer Region CloudFormation abgeschlossen werden, bevor zur nächsten übergegangen wird.
1. Behalten Sie für **Gleichzeitigkeitsmodus**die Standardeinstellung **Strenge Fehlertoleranz**bei.
Bei Implementierungen mit mehreren Konten wird dadurch die Gleichzeitigkeit der Konten reduziert, wenn es zu Fehlern kommt, wobei die **Fehlertoleranz** \$11 beibehalten wird.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie auf der Seite **Review (Prüfen)** Ihre Auswahl. Um Änderungen vorzunehmen, wählen Sie **Bearbeiten** in dem entsprechenden Abschnitt.
1. Wenn Sie bereit sind, Ihre zu erstellen StackSet, wählen Sie **Submit**.
## Überwachen Sie StackSet die Erstellung
Nachdem Sie „**Senden**“ ausgewählt haben, CloudFormation beginnt er mit der Erstellung Ihrer Stacks StackSet und der Bereitstellung von Stacks für die angegebenen Regionen in Ihrem Konto. Die StackSet Detailseite wird automatisch geöffnet, auf der Sie den Fortschritt des Vorgangs verfolgen können.
**Um die StackSet Erstellung zu überwachen**
1. Auf der StackSet Detailseite wird standardmäßig die Registerkarte **Vorgänge** angezeigt, auf der der aktuelle Vorgang angezeigt wird.
1. Der Vorgangsstatus sollte `RUNNING` anfänglich sein. CloudFormationerstellt Stapel in den Regionen, die Sie entsprechend den von Ihnen konfigurierten Bereitstellungsoptionen angegeben haben.
1. Um weitere Details zu dem Vorgang zu sehen, wählen Sie die ID des Vorgangs in der Liste aus.
1. Auf der Seite mit den Vorgangsdetails können Sie den Status der Stack-Instances einsehen, die in jeder Region erstellt werden.
1. Warten Sie, bis sich der Betriebsstatus auf ändert. Dies bedeutet`SUCCEEDED`, dass die StackSet und alle zugehörigen Stack-Instances erfolgreich erstellt wurden.
## StackSet Ergebnisse anzeigen
Nach Abschluss der StackSet Erstellung können Sie sich die bereitgestellten Stack-Instances ansehen und überprüfen, AWS Config ob sie in Ihrem Konto in den angegebenen Regionen aktiviert wurden.
**Um die StackSet Ergebnisse anzusehen**
1. Wählen Sie auf der StackSet Detailseite den Tab **Stack-Instances** aus.
1. Sie sollten eine Liste der Stack-Instances sehen, die in Ihrem Konto in den angegebenen Regionen erstellt wurden. Jede Stack-Instance sollte den Status `SUCCEEDED`haben, was bedeutet, dass sie erfolgreich bereitgestellt wurde.
1. Um zu überprüfen, ob dies in Ihrem Konto aktiviert AWS Config ist, können Sie die AWS Config Konsole in jeder der bereitgestellten Regionen überprüfen.
## Aktualisieren Sie Ihre StackSet
Nachdem Sie Ihre erstellt haben StackSet, möchten Sie sie möglicherweise aktualisieren, um Parameterwerte zu ändern oder weitere Regionen hinzuzufügen. In diesem Abschnitt erfahren Sie, wie Sie den Parameter für die AWS Config Aufnahmefrequenz aktualisieren.
**Um deine zu aktualisieren StackSet**
1. Wählen Sie auf der **StackSets**Seite Ihre aus**my-awsconfig-stackset**.
1. Wenn Sie das StackSet ausgewählt haben, wählen Sie im Menü **Aktionen** die Option ** StackSet Details bearbeiten** aus.
1. Wählen Sie auf der Seite **Vorlage auswählen** unter **Voraussetzung- Vorlage vorbereiten**die Option **Aktuelle Vorlage verwenden**.
1. Wählen Sie **Weiter** aus.
1. Suchen Sie auf der Seite „** StackSet Details angeben**“ unter **Parameter** nach der **Aufzeichnungsfrequenz des Konfigurationsrekorders** und ändern Sie sie von **TÄGLICH** auf **KONTINUIERLICH**.
1. Wählen Sie **Weiter** aus.
1. Lassen Sie auf der Seite „** StackSet Optionen konfigurieren**“ die Einstellungen unverändert und wählen Sie **Weiter**.
1. Geben **Sie auf der Seite „Bereitstellungsoptionen** festlegen“ Ihre Konto-ID und dieselben Regionen an, die Sie bei der Erstellung von verwendet haben StackSet.
1. Für **Distributionsoptionen**behalten Sie die gleichen Einstellungen wie zuvor.
1. Wählen Sie **Weiter** aus.
1. Auf der Seite **Überprüfung** überprüfen Sie Ihre Änderungen und wählen **Absenden**.
1. CloudFormation beginnt mit der Aktualisierung Ihres StackSet. Sie können den Fortschritt auf der Registerkarte **Operationen** auf der StackSet Detailseite überwachen.
## Füge Stapel zu deinem hinzu StackSet
Sie können Ihrem weitere Stapel hinzufügen, StackSet indem Sie ihn in weiteren Regionen bereitstellen. Dieser Abschnitt zeigt Ihnen, wie Sie einer neuen Region Stapel hinzufügen.
**Um Stacks zu deinem hinzuzufügen StackSet**
1. Wählen Sie auf der **StackSets**Seite Ihre **my-awsconfig-stackset** aus.
1. Wenn Sie das StackSet ausgewählt haben, wählen **Sie im Menü **Aktionen** die Option Stapel hinzufügen zu StackSet**.
1. Wählen Sie auf der Seite **„Bereitstellungsoptionen festlegen**“ für **Stacks hinzufügen zu die StackSet** Option **Neue Stacks bereitstellen** aus.
1. Wählen Sie für **Konten**die Option **Stapel in Konten bereitstellen** und geben Sie Ihre Konto-ID ein.
1. Wählen Sie für **Regionen angeben**eine neue Region aus, z. B. **Europa (Irland)** (`eu-west-1`).
1. Für **Einsatzoptionen**behalten Sie die gleichen Einstellungen wie zuvor.
1. Wählen Sie **Weiter** aus.
1. Lassen Sie auf der Seite **Überschreibungen festlegen** die Eigenschaftswerte wie angegeben und wählen Sie **Weiter**.
1. Überprüfen Sie auf der Seite **Review (Überprüfen)** Ihre Auswahl und wählen Sie anschließend **Submit (Einsenden)** aus.
1. CloudFormation beginnt mit der Erstellung neuer Stacks in der angegebenen Region. Sie können den Fortschritt auf der Registerkarte „**Operationen**“ der StackSet Detailseite überwachen.
## Bereinigen
Um zu vermeiden, dass Gebühren für unerwünschte AWS Config Ressourcen anfallen, sollten Sie aufräumen, indem Sie die Stacks von Ihrem Computer löschen StackSet, die Stacks StackSet selbst löschen und die IAM-Rollen entfernen, die Sie für dieses Tutorial erstellt haben. Da alle Ressourcen innerhalb Ihres Kontos bereitgestellt werden, ist die Bereinigung ganz einfach.
**Um Stacks von Ihrem zu löschen StackSet**
1. Wählen Sie auf der **StackSets**Seite Ihre **my-awsconfig-stackset** aus.
1. Wenn das StackSet ausgewählt ist, wählen Sie im Menü **Aktionen** die Option **Stapel löschen StackSet aus**.
1. Wählen Sie auf der Seite **Bereitstellungsoptionen festlegen** für **Konten**die Option **Stacks in Konten bereitstellen** und geben Sie Ihre Konto-ID ein.
1. Wählen Sie für **Regionen angeben**alle Regionen aus, in denen Sie Stapel bereitgestellt haben.
1. Für **Distributionsoptionen**behalten Sie die Standardeinstellungen bei.
1. Stellen Sie sicher, dass **Stack beibehalten** *nicht* aktiviert ist, damit die Stack und ihre Ressourcen gelöscht werden.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie auf der Seite **Review (Überprüfen)** Ihre Auswahl und wählen Sie anschließend **Submit (Einsenden)** aus.
1. CloudFormation beginnt mit dem Löschen der Stapel aus Ihrem. StackSet Sie können den Fortschritt auf der Registerkarte **Operationen** auf der StackSet Detailseite überwachen.
**Um deine zu löschen StackSet**
1. Nachdem alle Stapel gelöscht wurden, wählen Sie auf der **StackSets**Seite Ihre **my-awsconfig-stackset** aus.
1. Wenn Sie StackSet ausgewählt sind, wählen Sie im **Aktionsmenü** die Option **Löschen StackSet** aus.
1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Löschen**.
**So löschen Sie die IAM-Dienstrollen**
Da Sie die Bereitstellung nur für Ihr Konto vorgenommen haben, müssen Sie nur die IAM-Rollen dieses einzigen Kontos löschen, was die Bereinigung wesentlich einfacher macht als bei der Bereitstellung für mehrere Konten.
1. Öffnen Sie die [IAM-Konsole](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Roles (Rollen)** aus.
1. Geben Sie in das Suchfeld **AWSCloudFormationStackSet** ein, um die Rollen zu finden, die Sie für dieses Lernprogramm erstellt haben.
1. Markieren Sie das Kontrollkästchen neben **AWSCloudFormationStackSetAdministrationRole**.
1. Wählen Sie oben auf der Seite **Löschen** aus.
1. Geben Sie im Bestätigungsdialogfeld **delete** ein und wählen Sie **Löschen**.
1. Wiederholen Sie den gleichen Vorgang, um die zu löschen **AWSCloudFormationStackSetExecutionRole**.
Nach dem Löschen von StackSet verbleibt AWS-Region aufgrund des `DeletionPolicy` Attributs auf der `AWS::S3::Bucket` Ressource jeweils ein Amazon S3 S3-Bucket. Dadurch bleiben Ihre AWS Config Verlaufsdaten erhalten. Wenn Sie diese Daten nicht mehr benötigen, können Sie den Bucket sicher manuell löschen. Bevor Sie einen Bucket löschen können, müssen Sie ihn zunächst leeren. Wenn Sie einen Bucket leeren, werden alle darin enthaltenen Objekte gelöscht.
**So leeren und löschen Sie die Amazon S3-Buckets**
1. Öffnen Sie die [Amazon S3-Konsole](https://console.aws.amazon.com/s3/).
1. Klicken Sie im Navigationsbereich auf der linken Seite der Konsole auf **Buckets**.
1. In der **Buckets-Liste finden Sie Buckets**, die dafür StackSet in jeder Region, in der Sie bereitgestellt haben, erstellt wurden. **Wählen Sie die Option neben dem Namen des Buckets aus, der dafür erstellt wurde StackSet, und wählen Sie dann Leer aus.**
1. Bestätigen Sie auf der Seite **Bucket leeren**, dass Sie den Bucket leeren möchten, indem Sie **permanently delete** in das Textfeld eingeben, und wählen Sie dann **Leeren**.
1. Überwachen Sie den Fortschritt des Vorgangs zum Entleeren von Buckets auf der Seite **Bucket entleeren: Status)**.
1. Um zur Bucket-Liste zurückzukehren, wählen Sie **Exit (Beenden)** aus.
1. Wählen Sie die Option neben dem Namen des Buckets und wählen Sie dann **Löschen**.
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie den Namen des Buckets ein und wählen Sie **Bucket löschen**.
1. Überwachen Sie in der Liste **Buckets** den Fortschritt des Löschvorgangs für den Bucket. Wenn Amazon S3 die Löschung des Buckets abgeschlossen hat, entfernt es den Bucket aus der Liste.
1. Wiederholen Sie diesen Vorgang für jeden Bucket, den Sie StackSet in den verschiedenen Regionen erstellt haben.
## Nächste Schritte
Herzlichen Glückwunsch\$1 Sie haben StackSet mithilfe einer Beispielvorlage erfolgreich eine Vorlage erstellt, Stacks in mehreren Regionen Ihres Kontos bereitgestellt, aktualisiert StackSet, weitere Stacks hinzugefügt und Ihre Ressourcen bereinigt. Indem Sie sich auf die Bereitstellung eines einzelnen Kontos konzentriert haben, haben Sie den Bereinigungsprozess vereinfacht und gleichzeitig die wichtigsten Funktionen von für mehrere Regionen kennengelernt. StackSets
Weitere Informationen StackSets finden Sie in den folgenden Themen:
+ [Überschreiben Sie Parameterwerte auf Stacks in Ihrem CloudFormation StackSet](stackinstances-override.md)- Erfahren Sie, wie Sie Parameterwerte für bestimmte Konten und Regionen außer Kraft setzen können.
+ [CloudFormation StackSets Mit vom Service verwalteten Berechtigungen erstellen](stacksets-orgs-associate-stackset-with-org.md)— Erfahren Sie mehr über StackSets das Erstellen von Bereitstellungen mit mehreren Konten mit. AWS Organizations
# CloudFormation StackSets Mit selbstverwalteten Berechtigungen erstellen
In diesem Thema wird beschrieben, wie Sie StackSets mithilfe von *selbstverwalteten* Berechtigungen Stacks für die regionsübergreifende AWS-Konten Bereitstellung erstellen.
**Anmerkung**
Bevor Sie fortfahren, erstellen Sie die IAM-Dienstrollen, die erforderlich sind, StackSets um eine vertrauenswürdige Beziehung zwischen dem Konto, von dem StackSet aus Sie die Daten verwalten, und dem Konto, für das Sie Stacks bereitstellen, herzustellen. Weitere Informationen finden Sie unter [Selbstverwaltete Berechtigungen erteilen](stacksets-prereqs-self-managed.md).
**Topics**
+ [Erstellen Sie eine StackSet mit selbstverwalteten Berechtigungen (Konsole)](#stacksets-getting-started-create-self-managed-console)
+ [Erstellen Sie eine StackSet mit selbstverwalteten Berechtigungen ()AWS CLI](#stacksets-getting-started-self-managed-cli)
## Erstellen Sie eine StackSet mit selbstverwalteten Berechtigungen (Konsole)
**Um eine zu erstellen StackSet**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm die aus, von der aus Sie AWS-Region die StackSet verwalten möchten.
1. **StackSets**.
1. Wählen Sie oben **StackSets**auf der Seite die Option **Erstellen** aus StackSet.
1. Wählen Sie unter **Berechtigungen**die Option **Selbstbedienungsberechtigungen** und wählen Sie die von Ihnen erstellten IAM-Rollen.
1. Wählen Sie unter **Voraussetzung- Vorlage vorbereiten**, **Vorlage ist bereit**.
1. Wählen Sie unter **Specify template (Vorlage angeben)** entweder die URL für den S3-Bucket, der Ihre Stack-Vorlage enthält, aus oder laden Sie eine Stack-Vorlagendatei hoch. Wählen Sie anschließend **Weiter**.
1. Geben Sie auf der Seite „** StackSet Details angeben**“ einen Namen für die ein StackSet, geben Sie alle Parameter an und wählen Sie dann **Weiter** aus.
1. Wählen Sie **Next** (Weiter), um fortzufahren.
1. Geben Sie auf der Seite ** StackSet Optionen konfigurieren** unter **Tags** alle Tags an, die auf Ressourcen in Ihrem Stack angewendet werden sollen. Weitere Informationen zur Verwendung von Tags finden Sie im AWS*AWS Fakturierung und Kostenmanagement Benutzerhandbuch* unter [Organisieren und Nachverfolgen von AWS Kosten mithilfe von Kostenzuordnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html).
1. Wählen Sie für die **Ausführungskonfiguration** die Option **Aktiv** aus, um CloudFormation die optimierte Betriebsbehandlung zu aktivieren:
+ Nicht konkurrierende Operationen werden gleichzeitig ausgeführt, um die Einsatzzeiten zu verkürzen.
+ Sich widersprechende Vorgänge werden automatisch in eine Warteschlange gestellt und in der Reihenfolge bearbeitet, in der sie angefordert wurden.
Während der Ausführung von Vorgängen oder in der Warteschlange stehen, werden alle eingehenden Vorgänge in CloudFormation die Warteschlange gestellt, auch wenn sie nicht miteinander in Konflikt stehen. Während dieser Zeit können Sie die Ausführungseinstellungen nicht ändern.
1. Wenn Ihre Vorlage IAM-Ressourcen enthält, wählen Sie für **Fähigkeiten**die Option **Ich bestätige, dass diese Vorlage IAM-Ressourcen erstellen kann** um anzugeben, dass Sie IAM-Ressourcen in der Vorlage verwenden möchten. Weitere Informationen finden Sie unter [Bestätigung von IAM-Ressourcen in Vorlagen CloudFormation](control-access-with-iam.md#using-iam-capabilities).
1. Wählen Sie **Weiter** aus.
1. **Wählen Sie auf der Seite **Bereitstellungsoptionen festlegen** für Stacks **hinzufügen zu die Option Neue Stacks bereitstellen StackSet** aus.**
1. Wählen Sie für **Accounts (Konten)** die Option **Deploy stacks in accounts (Stacks in Konten bereitstellen)** aus. Fügen Sie Ihre AWS-Konto Zielzahlen in das Textfeld ein und trennen Sie mehrere Zahlen durch Kommas.
**Anmerkung**
Sie können die ID Ihres Administratorkontos angeben, wenn Sie Stacks auch unter diesem Konto bereitstellen möchten.
1. Wählen Sie unter **Regionen angeben**die Regionen aus, in denen Sie Stacks einsetzen möchten.
1. Für **Einsatzoptionen**gehen Sie wie folgt vor:
+ Geben Sie für **Maximale Anzahl gleichzeitiger Konten**an, wie viele Konten gleichzeitig bearbeitet werden.
+ Geben Sie für **Fehlertoleranz**die maximal zulässige Anzahl von Kontoausfällen pro Region an. Die Operation wird gestoppt und nicht mit anderen Regionen fortgesetzt, sobald dieses Limit erreicht ist.
+ Für **Gleichzeitigkeit der Regionen**wählen Sie, wie die Regionen verarbeitet werden sollen: **Sequentiell** (eine Region auf einmal) oder **Parallel** (mehrere Regionen gleichzeitig).
+ Wählen Sie für **Gleichzeitigkeitsmodus**, wie sich die Gleichzeitigkeit während der Ausführung der Operation verhält.
+ **Strenge Fehlertoleranz**- Reduziert den Gleichzeitigkeitsgrad des Kontos, wenn Fehler auftreten, und bleibt dabei innerhalb der **Fehlertoleranz** \$11.
+ **Weiche Fehlertoleranz**- Behält die von Ihnen angegebene Gleichzeitigkeitsstufe (den Wert von **Maximale gleichzeitige Konten**) unabhängig von Fehlern bei.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie auf der Seite **Review (Prüfen)** Ihre Auswahl. Um Änderungen vorzunehmen, wählen Sie **Bearbeiten** in dem entsprechenden Abschnitt.
1. Wenn Sie bereit sind, Ihre zu erstellen StackSet, wählen Sie **Senden**.
CloudFormation beginnt mit der Erstellung Ihres StackSet. Sehen Sie sich den Fortschritt und den Status der Erstellung der Stacks auf der StackSet Detailseite an, die geöffnet wird, wenn Sie „**Senden**“ wählen. StackSet
## Erstellen Sie eine StackSet mit selbstverwalteten Berechtigungen ()AWS CLI
Folgen Sie den Schritten in diesem Abschnitt, um Folgendes AWS CLI zu verwenden:
+ Erstellen Sie den StackSet Container.
+ Stellen Sie Stack-Instances bereit.
**Um einen zu erstellen StackSet**
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html)Befehl, um einen neuen StackSet Namen zu erstellen`my-stackset`. Das folgende Beispiel verwendet eine in einem S3-Bucket gespeicherte Vorlage und enthält einen Parameter, der ein `KeyPairName` mit dem Wert `TestKey`festlegt.
```
aws cloudformation create-stack-set \
--stack-set-name my-stackset \
--template-url https://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/MyApp.template \
--parameters ParameterKey=KeyPairName,ParameterValue=TestKey
```
1. Wenn Ihr **create-stack-set** Befehl abgeschlossen ist, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html)Befehl aus, um zu überprüfen, ob Ihr Befehl erstellt StackSet wurde. Sie sollten Ihr neues StackSet in den Ergebnissen sehen.
```
aws cloudformation list-stack-sets
```
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html)Befehl, um Stapel in Ihrem StackSet bereitzustellen. Im folgenden Beispiel werden Stapel in zwei AWS-Konten (`account_ID_1` und `account_ID_2`) in zwei Regionen (`us-west-2` und `us-east-1`) eingesetzt.
Legen Sie mit der Option `--operation-preferences` die Verarbeitung von Gleichzeitigkeitskonten und andere Bereitstellungseinstellungen fest. Dieses Beispiel verwendet zählbasierte Einstellungen. Beachten Sie, dass `MaxConcurrentCount` nicht größer sein darf als `FailureToleranceCount` \$1 1. Für prozentuale Einstellungen verwenden Sie stattdessen `FailureTolerancePercentage` oder `MaxConcurrentPercentage` .
```
aws cloudformation create-stack-instances \
--stack-set-name my-stackset \
--accounts account_ID_1 account_ID_2 \
--regions us-west-2 us-east-1 \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
Weitere Informationen finden Sie unter [CreateStackInstances](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackInstances.html) in der *AWS CloudFormation -API-Referenz*.
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html) um zu überprüfen, ob Ihre Stapel erfolgreich erstellt wurden. Für die Option `--operation-id` geben Sie die Operations-ID an, die als Teil der **create-stack-instances**-Ausgabe zurückgegeben wurde.
```
aws cloudformation describe-stack-set-operation \
--stack-set-name my-stackset \
--operation-id operation_ID
```
# CloudFormation StackSets Mit vom Service verwalteten Berechtigungen erstellen
Mit vom *Dienst verwalteten* Berechtigungen können Sie Stacks für Konten bereitstellen, die von AWS Organizations in bestimmten Regionen verwaltet werden. Bei diesem Modell müssen Sie nicht in jedem Zielkonto und IAM-Rollen erstellen. AWS-Region CloudFormation erstellt die IAM-Rollen in Ihrem Namen. Weitere Informationen finden Sie unter [Aktivieren Sie den vertrauenswürdigen Zugriff](stacksets-orgs-activate-trusted-access.md).
**Topics**
+ [Überlegungen](#stacksets-orgs-considerations)
+ [Erstellen Sie eine StackSet mit vom Dienst verwalteten Berechtigungen (Konsole)](#stacksets-orgs-associate-stackset-with-org-console)
+ [Erstellen Sie eine StackSet mit vom Service verwalteten Berechtigungen ()AWS CLI](#stacksets-orgs-associate-stackset-with-org-cli)
## Überlegungen
Bevor Sie eine StackSet mit vom Service verwalteten Berechtigungen erstellen, sollten Sie Folgendes berücksichtigen:
+ StackSets mit vom Dienst verwalteten Berechtigungen können entweder über das Verwaltungskonto Ihrer Organisation oder über delegierte Administratorkonten initiiert werden, aber alle Vorgänge werden über das Verwaltungskonto ausgeführt.
+ CloudFormation verteilt keine Stacks für das Verwaltungskonto, auch wenn dieses Konto Teil Ihrer Organisation oder einer Organisationseinheit (OU) ist.
+ Sie StackSet können Ihre gesamte Organisation (einschließlich aller Konten) oder bestimmte Ziele als Ziel angeben OUs. Wenn ein StackSet Ziel auf eine übergeordnete Organisationseinheit abzielt, schließt es automatisch jedes Kind mit ein OUs. Wenn es sich um ein bestimmtes StackSet Ziel handelt OUs, schließt es standardmäßig alle Konten innerhalb dieser Konten ein OUs. Sie können jedoch mit Hilfe von Konto-Filteroptionen bestimmte Konten anvisieren.
+ Mehrere StackSets können auf dieselbe Organisation oder Organisationseinheit abzielen.
+ Sie können keine Konten außerhalb Ihres Unternehmens anvisieren.
+ Ihre Bereitstellungsautorisierung StackSets hängt von den Berechtigungen ab, die dem IAM-Prinzipal (Benutzer, Rolle oder Gruppe) zugewiesen wurden, mit dem Sie sich beim Verwaltungskonto anmelden. Eine IAM-Beispielrichtlinie, die Berechtigungen für die Bereitstellung in einer Organisation erteilt, finden Sie unter [Einschränkung von Stack-Set-Operationen basierend auf Region und Ressourcentypen](security_iam_id-based-policy-examples.md#resource-level-permissions-service-managed-stack-set).
+ Delegierte Administratoren haben die volle Berechtigung zur Bereitstellung für jedes Konto in Ihrem Unternehmen. Das Verwaltungskonto kann delegierte Administratorberechtigungen nicht auf die Bereitstellung auf bestimmte OUs Operationen beschränken. StackSet
+ Die Einstellungen für die automatische Bereitstellung gelten auf der entsprechenden StackSet Ebene. Sie können automatische Bereitstellungen nicht selektiv für OUs Konten oder Regionen anpassen.
+ StackSets die vom Dienst verwaltete Berechtigungen verwenden, unterstützen keine verschachtelten Stacks oder Vorlagen, die Makros oder Transformationen enthalten.
## Erstellen Sie eine StackSet mit vom Dienst verwalteten Berechtigungen (Konsole)
**Um eine zu erstellen StackSet**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm die aus, von der aus Sie AWS-Region die StackSet verwalten möchten.
1. **StackSets**.
1. Wählen Sie oben **StackSets**auf der Seite die Option **Erstellen** aus StackSet.
1. Wählen Sie unter **Permissions (Berechtigungen)** die Option **Service-managed permissions (Serviceverwaltete Berechtigungen)** aus.
**Anmerkung**
Wenn der vertrauenswürdige Zugriff mit deaktiviert AWS Organizations ist, wird ein Banner angezeigt. Vertrauenswürdiger Zugriff ist erforderlich, um eine StackSet mit vom Dienst verwalteten Berechtigungen zu erstellen oder zu aktualisieren. Nur der Administrator im Verwaltungskonto der Organisation verfügt über Berechtigungen für [Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations](stacksets-orgs-activate-trusted-access.md).
1. Wählen Sie unter **Voraussetzung- Vorlage vorbereiten**, **Vorlage ist bereit**.
1. Wählen Sie unter **Specify template (Vorlage angeben)** entweder die URL für den S3-Bucket, der Ihre Stack-Vorlage enthält, aus oder laden Sie eine Stack-Vorlagendatei hoch. Wählen Sie anschließend **Weiter**.
1. Geben Sie auf der Seite „** StackSet Details angeben**“ einen Namen für den ein StackSet, geben Sie alle Parameter an, und klicken Sie dann auf **Weiter**.
1. Geben Sie auf der Seite ** StackSet Optionen konfigurieren** unter **Tags** alle Tags an, die auf Ressourcen in Ihrem Stack angewendet werden sollen. Weitere Informationen zur Verwendung von Tags finden Sie im AWS*AWS Fakturierung und Kostenmanagement Benutzerhandbuch* unter [Organisieren und Nachverfolgen von AWS Kosten mithilfe von Kostenzuordnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html).
1. Wählen Sie für die **Ausführungskonfiguration** die Option **Aktiv** aus, um CloudFormation die optimierte Betriebsbehandlung zu aktivieren:
+ Nicht konkurrierende Operationen werden gleichzeitig ausgeführt, um die Einsatzzeiten zu verkürzen.
+ Sich widersprechende Vorgänge werden automatisch in eine Warteschlange gestellt und in der Reihenfolge bearbeitet, in der sie angefordert wurden.
Während der Ausführung von Vorgängen oder in der Warteschlange stehen, werden alle eingehenden Vorgänge in CloudFormation die Warteschlange gestellt, auch wenn sie nicht miteinander in Konflikt stehen. Während dieser Zeit können Sie die Ausführungseinstellungen nicht ändern.
1. Wenn Ihre Vorlage IAM-Ressourcen enthält, wählen Sie für **Fähigkeiten**die Option **Ich bestätige, dass diese Vorlage IAM-Ressourcen erstellen kann** um anzugeben, dass Sie IAM-Ressourcen in der Vorlage verwenden möchten. Weitere Informationen finden Sie unter [Bestätigung von IAM-Ressourcen in Vorlagen CloudFormation](control-access-with-iam.md#using-iam-capabilities).
1. Wählen Sie **Weiter** aus, um fortzufahren und den vertrauenswürdigen Zugriff zu aktivieren, falls er noch nicht aktiviert ist.
1. Führen Sie auf der Seite **Bereitstellungsoptionen festlegen** unter **Bereitstellungsziele**einen der folgenden Schritte aus:
+ Um alle Konten in Ihrer Organisation zu verteilen, wählen Sie **Verteilen an Organisation**.
+ Um die Bereitstellung für alle bestimmten Konten durchzuführen OUs, wählen Sie Für **Organisationseinheiten bereitstellen** () aus. OUs Wählen Sie **Add an OU (OU hinzufügen)** aus und fügen Sie dann die Ziel-OU-ID in das Textfeld ein. Wiederholen Sie den Vorgang für jede neue Ziel-OU.
Wenn Sie für **den **Filtertyp Konto** die Option Für Organisationseinheiten bereitstellen (OUs)** ausgewählt haben, können Sie Ihre Bereitstellungsziele auf bestimmte einzelne Konten festlegen, indem Sie eine der folgenden Optionen wählen und die Kontonummern angeben.
+ **Keine** (Standard) — Stacks werden für alle Konten in den angegebenen OUs Konten bereitgestellt.
+ **Schnittmenge** — Stellen Sie Stacks für bestimmte einzelne Konten innerhalb der ausgewählten Konten bereit. OUs
+ **Unterschied** — Stellen Sie Stacks für alle Konten in den ausgewählten Konten bereit, OUs mit Ausnahme bestimmter Konten.
+ **Vereinigung** — Stellt Stacks für die angegebenen Konten OUs sowie für weitere individuelle Konten bereit.
1. Wählen Sie unter **Automatische Bereitstellung** aus, ob die Bereitstellung automatisch für Konten erfolgen soll, die der Zielorganisation hinzugefügt werden, oder für Konten, die der Zielorganisation hinzugefügt werden, oder OUs für future Konten. Weitere Informationen finden Sie unter [Automatische Bereitstellungen für StackSets in aktivieren oder deaktivieren AWS Organizations](stacksets-orgs-manage-auto-deployment.md).
1. Wenn Sie die automatische Bereitstellung aktiviert haben, wählen Sie unter **Account removal behavior (Kontoentfernungsverhalten)** aus, ob Stack-Ressourcen beibehalten oder gelöscht werden, wenn ein Konto aus einer Zielorganisation oder OU entfernt wird.
**Anmerkung**
Wenn **Stapel beibehalten** ausgewählt ist, werden Stapel aus Ihren entfernt StackSet, aber die Stapel und die zugehörigen Ressourcen bleiben erhalten. Die Ressourcen bleiben in ihrem aktuellen Zustand, sind aber nicht mehr Teil von. StackSet
1. Wählen Sie unter **Regionen angeben**die Regionen aus, in denen Sie Stacks einsetzen möchten.
1. Für **Einsatzoptionen**gehen Sie wie folgt vor:
+ Geben Sie für **Maximale Anzahl gleichzeitiger Konten**an, wie viele Konten gleichzeitig bearbeitet werden.
+ Geben Sie für **Fehlertoleranz**die maximal zulässige Anzahl von Kontoausfällen pro Region an. Die Operation wird gestoppt und nicht mit anderen Regionen fortgesetzt, sobald dieses Limit erreicht ist.
+ Für **Gleichzeitigkeit der Regionen**wählen Sie, wie die Regionen verarbeitet werden sollen: **Sequentiell** (eine Region auf einmal) oder **Parallel** (mehrere Regionen gleichzeitig).
+ Wählen Sie für **Gleichzeitigkeitsmodus**, wie sich die Gleichzeitigkeit während der Ausführung der Operation verhält.
+ **Strenge Fehlertoleranz**- Reduziert den Gleichzeitigkeitsgrad des Kontos, wenn Fehler auftreten, und bleibt dabei innerhalb der **Fehlertoleranz** \$11.
+ **Weiche Fehlertoleranz**- Behält die von Ihnen angegebene Gleichzeitigkeitsstufe (den Wert von **Maximale gleichzeitige Konten**) unabhängig von Fehlern bei.
+ Fügen Sie für StackSet **Abhängigkeiten** abhängige hinzu StackSet ARNs und bleiben Sie dabei innerhalb von maximal 10 Abhängigkeiten. Weitere Informationen finden Sie unter [Automatische Bereitstellungen für StackSets in aktivieren oder deaktivieren AWS Organizations](stacksets-orgs-manage-auto-deployment.md).
1. Wählen Sie **Next** (Weiter), um fortzufahren.
1. Vergewissern Sie sich auf der Seite „**Überprüfen**“, dass StackSet Sie die Bereitstellung für die richtigen Konten in den richtigen Regionen durchführen, und wählen Sie dann **Create** aus StackSet.
Die **StackSet Detailseite** wird geöffnet. Sie können den Fortschritt und den Status der Erstellung der Stacks in Ihrem StackSet einsehen.
## Erstellen Sie eine StackSet mit vom Service verwalteten Berechtigungen ()AWS CLI
Folgen Sie den Schritten in diesem Abschnitt, um Folgendes AWS CLI zu verwenden:
+ Erstellen Sie den StackSet Container.
+ Stellen Sie Stack-Instances bereit.
**Anmerkung**
Wenn Sie als beauftragter Administrator handeln, müssen Sie `--call-as DELEGATED_ADMIN` in den Befehl einfügen.
------
#### [ Deploy to your organization ]
**Um einen zu erstellen StackSet**
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html)Befehl, um einen neuen StackSet Namen zu erstellen`my-stackset`. Das folgende Beispiel verwendet eine Vorlage, die in einem S3-Bucket gespeichert ist, aktiviert automatische Bereitstellungen und bewahrt Stapel, wenn Konten entfernt werden. Weitere Informationen finden Sie unter [Automatische Bereitstellungen für StackSets in aktivieren oder deaktivieren AWS Organizations](stacksets-orgs-manage-auto-deployment.md).
```
aws cloudformation create-stack-set \
--stack-set-name my-stackset \
--template-url https://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/MyApp.template \
--permission-model SERVICE_MANAGED \
--auto-deployment Enabled=true,RetainStacksOnAccountRemoval=true,DependsOn=ARN1,ARN2
```
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html)Befehl, um zu bestätigen, dass Ihr erstellt StackSet wurde. Ihr neues StackSet wird in den Ergebnissen aufgeführt.
```
aws cloudformation list-stack-sets
```
+ Wenn Sie die `--call-as` Option auf einstellen, `DELEGATED_ADMIN` während Sie in Ihrem Mitgliedskonto angemeldet sind, werden alle StackSets mit vom Dienst verwalteten Berechtigungen im Verwaltungskonto der Organisation **list-stack-sets** zurückgegeben.
+ Wenn Sie die `--call-as` Option auf einstellen, `SELF` während Sie bei Ihrem angemeldet sind AWS-Konto, werden alle selbstverwalteten Daten StackSets in Ihrem **list-stack-sets** zurückgegeben. AWS-Konto
+ Wenn Sie die `--call-as` Option auf einstellen, `SELF` während Sie beim Verwaltungskonto der Organisation angemeldet sind, werden alle Daten StackSets im Verwaltungskonto der Organisation **list-stack-sets** zurückgegeben.
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html)Befehl, um Stapel zu Ihrem StackSet hinzuzufügen. Für die Option `--deployment-targets` geben Sie die Stamm-ID der Organisation an, um sie für alle Konten in Ihrer Organisation bereitzustellen.
Legen Sie mit der Option `--operation-preferences` die Verarbeitung von Gleichzeitigkeitskonten und andere Bereitstellungseinstellungen fest. Dieses Beispiel verwendet zählbasierte Einstellungen. Beachten Sie, dass `MaxConcurrentCount` nicht größer sein darf als `FailureToleranceCount` \$1 1. Für prozentuale Einstellungen verwenden Sie stattdessen `FailureTolerancePercentage` oder `MaxConcurrentPercentage` .
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=r-a1b2c3d4e5 \
--regions us-west-2 us-east-1 \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
Weitere Informationen finden Sie unter [CreateStackInstances](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackInstances.html) in der *AWS CloudFormation -API-Referenz*.
1. Verwenden Sie den `operation-id`-Befehl, der als Teil der **create-stack-instances**-Ausgabe zurückgegeben wurde, und überprüfen Sie mit dem folgenden [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html)-Befehl, ob Ihre Stack erfolgreich erstellt wurden.
```
aws cloudformation describe-stack-set-operation \
--stack-set-name my-stackset \
--operation-id operation_ID
```
------
#### [ Deploy to organizational units (OUs) ]
**Um ein zu erstellen StackSet**
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html)Befehl, um einen neuen StackSet Namen zu erstellen`my-stackset`. Das folgende Beispiel verwendet eine in einem S3-Bucket gespeicherte Vorlage und enthält einen Parameter, der ein `KeyPairName` mit dem Wert `TestKey`festlegt
```
aws cloudformation create-stack-set \
--stack-set-name my-stackset \
--template-url https://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/MyApp.template \
--permission-model SERVICE_MANAGED \
--parameters ParameterKey=KeyPairName,ParameterValue=TestKey
```
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html)Befehl, um zu bestätigen, dass Ihr erstellt StackSet wurde. Ihr neues StackSet wird in den Ergebnissen aufgeführt.
```
aws cloudformation list-stack-sets
```
+ Wenn Sie die `--call-as` Option auf einstellen, `DELEGATED_ADMIN` während Sie in Ihrem Mitgliedskonto angemeldet sind, werden alle StackSets mit vom Dienst verwalteten Berechtigungen im Verwaltungskonto der Organisation **list-stack-sets** zurückgegeben.
+ Wenn Sie die `--call-as` Option auf einstellen, `SELF` während Sie bei Ihrem angemeldet sind AWS-Konto, werden alle selbstverwalteten Daten StackSets in Ihrem **list-stack-sets** zurückgegeben. AWS-Konto
+ Wenn Sie die `--call-as` Option auf einstellen, `SELF` während Sie beim Verwaltungskonto der Organisation angemeldet sind, werden alle Daten StackSets im Verwaltungskonto der Organisation **list-stack-sets** zurückgegeben.
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html)Befehl, um Stapel zu Ihrem StackSet hinzuzufügen. Geben Sie für die `--deployment-targets` Option die Organisationseinheit an, in der die Bereitstellung erfolgen IDs soll.
Legen Sie mit der Option `--operation-preferences` die Verarbeitung von Gleichzeitigkeitskonten und andere Bereitstellungseinstellungen fest. Dieses Beispiel verwendet zählbasierte Einstellungen. Beachten Sie, dass `MaxConcurrentCount` nicht größer sein darf als `FailureToleranceCount` \$1 1. Für prozentuale Einstellungen verwenden Sie stattdessen `FailureTolerancePercentage` oder `MaxConcurrentPercentage` .
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=ou-rcuk-1x5j1lwo,ou-rcuk-slr5lh0a \
--regions us-west-2 us-east-1 \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
Weitere Informationen finden Sie unter [CreateStackInstances](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackInstances.html) in der *AWS CloudFormation -API-Referenz*.
1. Verwenden Sie den `operation-id`-Befehl, der als Teil der **create-stack-instances**-Ausgabe zurückgegeben wurde, und überprüfen Sie mit dem folgenden [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html)-Befehl, ob Ihre Stack erfolgreich erstellt wurden.
```
aws cloudformation describe-stack-set-operation \
--stack-set-name my-stackset \
--operation-id operation_ID
```
------
#### [ Deploy to specific accounts in OUs ]
Sie können auf bestimmte Organisationseinheiten (OUs) abzielen und mithilfe der Kontofilterung genau steuern, welche Konten Stack-Bereitstellungen erhalten. Standardmäßig werden Stacks für alle Konten innerhalb der angegebenen Konten bereitgestellt, OUs wenn keine Kontofilterung angegeben ist.
In der AWS CLI geben Sie die Kontofilterung mit der `--deployment-targets` Option an. Weitere Informationen finden Sie unter [DeploymentTargets](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeploymentTargets.html).
Nachdem Sie den StackSet Container mit dem **create-stack-set** Befehl erstellt haben, verwenden Sie eines der folgenden Beispiele, um Stacks für bestimmte Konten bereitzustellen.
**Bestimmte Konten in einer OU anvisieren**
Im folgenden Beispiel werden Stacks nur für die Konten A1 und A2 in bereitgestellt. OU1
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=OU1,Accounts=A1,A2,AccountFilterType=INTERSECTION \
--regions us-west-2 us-east-1
```
**Konten aus einer OU ausschließen**
Im folgenden Beispiel werden Stacks für alle Konten OU1 außer den Konten A1 und A2 bereitgestellt.
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=OU1,Accounts=A1,A2,AccountFilterType=DIFFERENCE \
--regions us-west-2 us-east-1
```
------
# Automatische Bereitstellungen für StackSets in aktivieren oder deaktivieren AWS Organizations
CloudFormation kann automatisch zusätzliche Stacks für neue AWS Organizations Konten bereitstellen, wenn diese zu Ihrer Zielorganisation oder Ihren Organisationseinheiten hinzugefügt werden ()OUs. Sie können automatische Bereitstellungen aktivieren und wählen, ob Stacks und die zugehörigen Ressourcen gelöscht oder beibehalten werden sollen, wenn Konten aus dem Ziel entfernt werden. OUs Diese Einstellungen können jederzeit geändert werden, wenn Sie vom Service StackSets verwaltete Berechtigungen verwenden.
## Wie automatische Bereitstellungen funktionieren
Wenn automatische Bereitstellungen aktiviert sind, werden sie ausgelöst, wenn Konten zu einer Zielorganisation oder Organisationseinheit hinzugefügt, aus einer Zielorganisation oder Organisationseinheit entfernt oder zwischen Zielen verschoben werden. OUs
Nehmen wir zum Beispiel `StackSet1`, das auf `OU1` in der `us-east-1`-Region zielt, und `StackSet2`, das auf `OU2` in der `us-east-1`-Region zielt. `OU1` enthält `AccountA`.
Wenn Sie `AccountA` von `OU1` zu wechseln und automatische Bereitstellungen aktiviert sind, CloudFormation wird automatisch ein Löschvorgang ausgeführt, um den `StackSet1` Stapel zu entfernen, `AccountA` und stellt einen Erstellungsvorgang in die Warteschlange, `OU2` mit dem der Stapel hinzugefügt wird`StackSet2`. `AccountA`
## Überlegungen
Bei der Verwendung von automatischen Distributionen sind folgende Punkte zu beachten:
+ Die Funktion für automatische Bereitstellungen ist auf der Ebene aktiviert. StackSet Sie können automatische Bereitstellungen nicht selektiv für Konten oder OUs Regionen anpassen.
+ Überschriebene Parameterwerte gelten nur für die Konten, die sich derzeit im Ziel OUs befinden, und für ihr untergeordnetes Konto. OUs Konten, die dem Ziel OUs und ihrem Kind OUs in future hinzugefügt werden, verwenden die StackSet Standardwerte und nicht die überschriebenen Werte.
+ Bei automatischen Bereitstellungen werden Targeting-Filter auf Kontoebene nicht berücksichtigt. Wenn Sie auf bestimmte Konten abzielen und automatische Bereitstellungen aktivieren, erfolgt die Bereitstellung StackSet weiterhin für alle neu hinzugefügten Konten innerhalb der bereitgestellten Organisation. Um die Bereitstellung für neu hinzugefügte Konten zu verhindern, deaktivieren Sie die automatische Bereitstellung.
+ Abhängigkeitsverwaltung: Definieren Sie bis zu 10 Abhängigkeiten pro StackSet Konto mit bis zu 100 Abhängigkeiten pro Konto. Wenn Sie beispielsweise fünf StackSets mit jeweils fünf Abhängigkeiten haben, haben Sie 25 Abhängigkeiten, die auf das Limit von 100 Abhängigkeiten angerechnet werden. Sie können eine Erhöhung des Limits über die [Service Quota Console](https://console.aws.amazon.com/servicequotas/home) beantragen. Abhängigkeiten werden entfernt, wenn sie StackSets gelöscht oder Organizations deaktiviert werden.
+ Es wird empfohlen, die verwaltete Ausführung zu aktivieren, wenn automatische Bereitstellungen verwendet werden. Durch die verwaltete Ausführung können automatische Bereitstellungsvorgänge in mehreren Zielkonten gleichzeitig innerhalb eines Zeitraums ausgeführt werden StackSet, was die Verarbeitungsgeschwindigkeit erhöht, insbesondere für größere Organizations.
## Automatische Bereitstellungen aktivieren oder deaktivieren (Konsole)
**So aktivieren oder deaktivieren Sie automatische Bereitstellungen**
1. [Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter https://console.aws.amazon.com /cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm den aus, den AWS-Region Sie erstellt haben. StackSet
1. **StackSets**.
1. Wählen Sie auf der **StackSets**Seite die Option neben dem Namen der StackSet zu aktualisierenden Datei aus.
1. Wählen Sie **Automatische Distribution bearbeiten** aus dem Menü **Aktionen** in der oberen rechten Ecke.
1. Gehen Sie in dem sich öffnenden Dialogfenster wie folgt vor:
1. For **Automatic deployment**, choose **Activated** or **Deactivated**.
1. Für **Kontoentfernungsverhalten**, wählen Sie **Stapel löschen** oder **Stapel beibehalten**. Zurückbehaltene Ressourcen bleiben in ihrem aktuellen Zustand, sind aber nicht mehr Teil von StackSet.
1. Fügen Sie für StackSet **Abhängigkeiten** abhängige hinzu StackSet ARNs und bleiben Sie dabei innerhalb von maximal 10 Abhängigkeiten.
1. Wählen Sie **Speichern**.
## Automatische Bereitstellungen aktivieren oder deaktivieren (AWS CLI)
**So aktivieren oder deaktivieren Sie automatische Bereitstellungen**
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-set.html) mit der Option `--auto-deployment` .
Der folgende Befehl aktiviert automatische Distributionen.
```
aws cloudformation update-stack-set --stack-set-name my-stackset \
--use-previous-template --auto-deployment Enabled=true,RetainStacksOnAccountRemoval=true,DependsOn=ARN1,ARN2
```
Um die automatische Bereitstellung zu deaktivieren, können Sie auch `Enabled=false` als Wert für die Option `--auto-deployment` angeben, wie im folgenden Beispiel.
```
aws cloudformation update-stack-set --stack-set-name my-stackset \
--use-previous-template --auto-deployment Enabled=false
```
1. Verwenden Sie die Vorgangs-ID, die als Teil der **update-stack-set** Ausgabe zurückgegeben wurde, und [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html)überprüfen Sie, ob Ihre Aktualisierung erfolgreich StackSet war.
```
aws cloudformation describe-stack-set-operation --operation-id operation_ID
```
# Aktualisierung CloudFormation StackSets
Sie können Ihre Aktualisierung entweder StackSet über die CloudFormation Konsole oder die durchführen AWS CLI.
Informationen zum Hinzufügen und Entfernen von Konten und Regionen zu einer StackSet finden Sie unter [Stapel hinzufügen zu StackSets](stackinstances-create.md) und[Stapel löschen von StackSets](stackinstances-delete.md). Um die Parameterwerte für einen Stapel zu überschreiben, siehe [Parameter auf Stapeln außer Kraft setzen](stackinstances-override.md).
**Topics**
+ [Aktualisiere deine StackSet (Konsole)](#stacksets-update-console)
+ [Aktualisieren Sie Ihre StackSet (AWS CLI)](#stacksets-update-cli)
## Aktualisiere deine StackSet (Konsole)
**Um ein zu aktualisieren StackSet**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm den aus, den AWS-Region Sie erstellt haben. StackSet
1. **StackSets**.
1. Wählen Sie auf der **StackSets**Seite die aus, die StackSet Sie aktualisieren möchten.
1. Wenn Sie die StackSet Option ausgewählt haben, wählen Sie im Menü **Aktionen** die Option ** StackSet Details bearbeiten** aus.
1. Aktualisieren Sie auf der Seite **Vorlage auswählen** den Abschnitt **Berechtigungen** nach Bedarf, oder fahren Sie mit dem nächsten Schritt fort.
1. Wählen Sie für **Voraussetzung- Vorlage vorbereiten**die Option **Aktuelle Vorlage verwenden** um die aktuelle Vorlage zu verwenden, oder **Aktuelle Vorlage ersetzen** um eine S3-URL für eine andere Vorlage anzugeben oder eine neue Vorlage hochzuladen.
1. Wählen Sie **Weiter** aus.
1. **Aktualisieren Sie auf der Seite „** StackSet Details angeben**“ bei StackSet Bedarf die Beschreibung für. StackSet **
1. Aktualisieren Sie für die-**Parameter**die Parameterwerte nach Bedarf.
1. Wählen Sie **Weiter** aus.
1. Ändern Sie auf der Seite „** StackSet Optionen konfigurieren**“ für **Tags** die Tags nach Bedarf. Sie können Tags hinzufügen, aktualisieren oder löschen. Weitere Informationen zur Verwendung von Stichwörtern finden Sie im AWS*AWS Fakturierung und Kostenmanagement Benutzerhandbuch* unter [Organisieren und Nachverfolgen von AWS Kosten mithilfe von Kostenverteilungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html).
1. Für **Ausführungskonfiguration**können Sie die Ausführungskonfiguration nach Bedarf aktualisieren.
**Anmerkung**
Denken Sie daran, dass Sie die Ausführungseinstellungen nicht ändern können, wenn die Vorgänge laufen oder in der Warteschlange stehen.
1. Wenn Ihre Vorlage IAM-Ressourcen enthält, wählen Sie für **Fähigkeiten**die Option **Ich bestätige, dass diese Vorlage IAM-Ressourcen erstellen kann** um anzugeben, dass Sie IAM-Ressourcen in der Vorlage verwenden möchten. Weitere Informationen finden Sie unter [Bestätigung von IAM-Ressourcen in Vorlagen CloudFormation](control-access-with-iam.md#using-iam-capabilities).
1. Wählen Sie **Weiter** aus.
1. Auf der Seite **Bereitstellungsoptionen festlegen** geben Sie die Konten und Regionen für die Aktualisierung an.
CloudFormation stellt Stack-Updates für die angegebenen Konten innerhalb der ersten Region bereit und fährt dann mit der nächsten fort usw., solange die Bereitstellungsfehler einer Region eine festgelegte Fehlertoleranz nicht überschreiten.
1. [Selbstverwaltete Berechtigungen] Wählen Sie für **Konten**, **Bereitstellungsorte**, **Stacks in Konten bereitstellen**. Fügen Sie das Zielkonto IDs , mit dem Sie Ihr Konto erstellt haben, StackSet in das Textfeld ein und trennen Sie mehrere Zahlen durch Kommas.
[Service-verwaltete Berechtigungen] Führen Sie einen der folgenden Schritte aus:
+ Wählen Sie In **Organisationseinheiten bereitstellen (OUs)** aus. Geben Sie das Ziel ein OUs , mit dem Sie Ihr erstellt haben StackSet.
+ Wählen Sie **Deploy to accounts (Für Konten bereitstellen)** aus. Fügen Sie die Ziel-OU IDs oder IDs das Zielkonto ein, mit dem Sie Ihre erstellt haben StackSet.
1. **Geben Sie unter Regionen angeben** die Reihenfolge an, in der Sie Ihre Updates bereitstellen CloudFormation möchten.
1. Für **Einsatzoptionen**gehen Sie wie folgt vor:
+ Geben Sie für **Maximale Anzahl gleichzeitiger Konten**an, wie viele Konten gleichzeitig bearbeitet werden.
+ Geben Sie für **Fehlertoleranz**die maximal zulässige Anzahl von Kontoausfällen pro Region an. Die Operation wird gestoppt und nicht mit anderen Regionen fortgesetzt, sobald dieses Limit erreicht ist.
+ Für **Gleichzeitigkeit der Regionen**wählen Sie, wie die Regionen verarbeitet werden sollen: **Sequentiell** (eine Region auf einmal) oder **Parallel** (mehrere Regionen gleichzeitig).
+ Wählen Sie für **Gleichzeitigkeitsmodus**, wie sich die Gleichzeitigkeit während der Ausführung der Operation verhält.
+ **Strenge Fehlertoleranz**- Reduziert den Gleichzeitigkeitsgrad des Kontos, wenn Fehler auftreten, und bleibt dabei innerhalb der **Fehlertoleranz** \$11.
+ **Weiche Fehlertoleranz**- Behält die von Ihnen angegebene Gleichzeitigkeitsstufe (den Wert von **Maximale gleichzeitige Konten**) unabhängig von Fehlern bei.
+ [Vom Dienst verwaltete Berechtigungen] Fügen Sie für StackSet **Abhängigkeiten** abhängige StackSet ARNs Personen hinzu, wobei die maximale Anzahl von 10 Abhängigkeiten nicht überschritten werden darf. Weitere Informationen finden Sie unter [Automatische Bereitstellungen für StackSets in aktivieren oder deaktivieren AWS Organizations](stacksets-orgs-manage-auto-deployment.md).
1. Wählen Sie **Next** (Weiter), um fortzufahren.
1. Überprüfen Sie auf der Seite **Review (Prüfen)** Ihre Auswahl. Um Änderungen vorzunehmen, wählen Sie **Bearbeiten** in dem entsprechenden Abschnitt.
1. Wenn Sie bereit sind fortzufahren, wählen Sie **Senden**.
CloudFormation beginnt mit der Installation Ihrer Updates auf Ihrem StackSet und zeigt die Registerkarte „**Vorgänge**“ auf der StackSet Detailseite an. Sie können Fortschritt und Status der Aktualisierungsoperationen auf der Registerkarte **Operations (Operationen)** anzeigen.
## Aktualisieren Sie Ihre StackSet (AWS CLI)
**Anmerkung**
Wenn Sie als beauftragter Administrator handeln, müssen Sie `--call-as DELEGATED_ADMIN` in den Befehl einfügen.
1.
**Um ein zu aktualisieren StackSet**
Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-set.html)Befehl, um Änderungen an Ihrem vorzunehmen StackSet.
In den folgenden Beispielen aktualisieren wir die `--parameters` Option StackSet by using. Konkret ändern wir die Standard-Snapshot-Zustellungshäufigkeit für die Zustellungskanalkonfiguration von `TwentyFour_Hours` auf `Twelve_Hours`. Da wir immer noch die aktuelle Vorlage verwenden, fügen wir die Option `--use-previous-template` hinzu.
Legen Sie mit der Option `--operation-preferences` die Verarbeitung gleichzeitiger Konten und andere Bereitstellungseinstellungen fest. Diese Beispiele verwenden zählbasierte Einstellungen. Beachten Sie, dass `MaxConcurrentCount` nicht größer sein darf als `FailureToleranceCount` \$1 1. Für prozentuale Einstellungen verwenden Sie stattdessen `FailureTolerancePercentage` oder `MaxConcurrentPercentage` .
[Selbstverwaltete Berechtigungen] Geben IDs Sie für `--accounts` diese Option das Konto an, auf das Ihr Update abzielen soll.
```
aws cloudformation update-stack-set --stack-set-name my-stackset \
--use-previous-template \
--parameters ParameterKey=MaximumExecutionFrequency,ParameterValue=Twelve_Hours \
--accounts account_ID_1 account_ID_2 \
--regions us-west-2 us-east-1 \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
[Vom Dienst verwaltete Berechtigungen] Geben IDs Sie für `--deployment-targets` diese Option die Stamm-ID oder Organisationseinheit (OU) der Organisation an, auf die sich Ihr Update beziehen soll.
```
aws cloudformation update-stack-set --stack-set-name my-stackset \
--use-previous-template \
--parameters ParameterKey=MaximumExecutionFrequency,ParameterValue=Twelve_Hours \
--deployment-targets OrganizationalUnitIds=ou-rcuk-1x5j1lwo,ou-rcuk-slr5lh0a \
--regions us-west-2 us-east-1 \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
Weitere Informationen finden Sie unter [UpdateStackSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html) in der *AWS CloudFormation -API-Referenz*.
1. Stellen Sie sicher, dass Ihr Update erfolgreich StackSet war, indem Sie den **describe-stack-set-operation** Befehl ausführen, um den Status und die Ergebnisse Ihres Aktualisierungsvorgangs anzuzeigen. Verwenden Sie als `--operation-id` die Operations-ID, die durch den Befehl **update-stack-set** zurückgegeben wurde.
```
aws cloudformation describe-stack-set-operation \
--operation-id operation_ID
```
# Stapel hinzufügen zu CloudFormation StackSets
Wenn Sie eine erstellen StackSet, können Sie die Stapel dafür erstellen. StackSet CloudFormation ermöglicht es Ihnen auch, jederzeit nach der Erstellung weitere Stacks für zusätzliche Konten und Regionen hinzuzufügen. StackSet Sie können Stacks entweder mit der CloudFormation Konsole oder mit dem hinzufügen. AWS CLI
**Topics**
+ [Stapel zu einer StackSet (Konsole) hinzufügen](#stackinstances-create-console)
+ [Füge Stapel zu einem StackSet () hinzu AWS CLI](#stackinstances-create-cli)
## Stapel zu einer StackSet (Konsole) hinzufügen
**Um Stapel zu einem hinzuzufügen StackSet**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm den aus, den AWS-Region Sie erstellt haben. StackSet
1. **StackSets**. Wählen Sie auf der StackSets Seite die aus StackSet , die Sie erstellt haben.
1. Wenn Sie die StackSet Option ausgewählt haben, wählen **Sie im Menü **Aktionen** die Option Stapel hinzufügen zu StackSet**.
1. Gehen Sie auf der Seite **Bereitstellungsoptionen festlegen** wie folgt vor:
1. Wählen **Sie unter Stapel hinzufügen zu die StackSet** Option **Neue Stapel bereitstellen** aus.
1. Gehen Sie als Nächstes je nach Ihrer StackSet Berechtigungskonfiguration wie folgt vor:
+ [Selbstverwaltete Berechtigungen] Wählen Sie für **Konten**, **Bereitstellungsorte**, **Stacks in Konten bereitstellen**. Fügen Sie Ihre Zielkonto-Zahlen in das Textfeld ein und trennen Sie dabei die einzelnen Zahlen durch Kommas.
+ [Dienstverwaltete Berechtigungen] Führen Sie für **Einsatzziele**einen der folgenden Schritte aus:
+ Wählen Sie **Deploy to organization (In Organisation bereitstellen)** aus, um für alle Konten in Ihrer Organisation bereitzustellen.
+ Wählen Sie **Für Organisationseinheiten bereitstellen (OUs)** aus, um die Bereitstellung für alle bestimmten Konten vorzunehmen OUs. Wählen Sie **Add another OU (Weitere OU hinzufügen)** aus und fügen Sie dann die Ziel-OU-ID in das Textfeld ein. Wiederholen Sie den Vorgang für jede neue Ziel-OU. CloudFormation zielt auch auf jedes Kind OUs Ihrer ausgewählten Ziele ab.
**Anmerkung**
Wenn Sie eine Organisationseinheit hinzufügen, auf die Sie StackSet bereits abzielen, werden neue Stacks in allen Konten in der Organisationseinheit CloudFormation erstellt, die noch keine Stacks von Ihnen haben StackSet (z. B. Konten, die der Organisationseinheit hinzugefügt wurden, nachdem Ihre Organisationseinheit erstellt StackSet wurde und automatische Bereitstellungen deaktiviert sind).
1. Geben Sie für **Regionen angeben**an, welche AWS-Regionen in den Zielkonten, die Sie im vorherigen Schritt angegeben haben, bereitgestellt werden sollen. Standardmäßig stellt CloudFormation es Stacks in den angegebenen Konten innerhalb der ersten Region bereit und fährt dann mit der nächsten fort usw., solange die Bereitstellungsfehler einer Region eine angegebene Fehlertoleranz nicht überschreiten.
1. Für **Einsatzoptionen**gehen Sie wie folgt vor:
+ Geben Sie für **Maximale Anzahl gleichzeitiger Konten**an, wie viele Konten gleichzeitig bearbeitet werden.
+ Geben Sie für **Fehlertoleranz**die maximal zulässige Anzahl von Kontoausfällen pro Region an. Die Operation wird gestoppt und nicht mit anderen Regionen fortgesetzt, sobald dieses Limit erreicht ist.
+ Für **Gleichzeitigkeit der Regionen**wählen Sie, wie die Regionen verarbeitet werden sollen: **Sequentiell** (eine Region auf einmal) oder **Parallel** (mehrere Regionen gleichzeitig).
+ Wählen Sie für **Gleichzeitigkeitsmodus**, wie sich die Gleichzeitigkeit während der Ausführung der Operation verhält.
+ **Strenge Fehlertoleranz**- Reduziert den Gleichzeitigkeitsgrad des Kontos, wenn Fehler auftreten, und bleibt dabei innerhalb der **Fehlertoleranz** \$11.
+ **Weiche Fehlertoleranz**- Behält die von Ihnen angegebene Gleichzeitigkeitsstufe (den Wert von **Maximale gleichzeitige Konten**) unabhängig von Fehlern bei.
1. Wählen Sie **Weiter** aus.
1. Lassen Sie auf der Seite **Specify Overrides (Außerkraftsetzungen angeben)** die Eigenschaftswerte unverändert. Für die zu erstellenden Stacks werden keine Eigenschaftswerte überschrieben. Wählen Sie **Weiter** aus.
1. Überprüfen Sie auf der Seite **Review (Prüfen)** Ihre Auswahl. Um Änderungen vorzunehmen, wählen Sie **Bearbeiten** in dem entsprechenden Abschnitt.
1. Wenn Sie bereit sind fortzufahren, wählen Sie **Senden**.
CloudFormation beginnt mit der Erstellung Ihrer Stacks. **Sehen Sie sich den Fortschritt und den Status der Erstellung der Stacks auf der StackSet Detailseite an, die geöffnet wird, wenn Sie Absenden wählen. StackSet ** Wenn Sie fertig sind, sollten Ihre neuen Stack auf der Registerkarte **Stackinstances** aufgeführt sein.
## Füge Stapel zu einem StackSet () hinzu AWS CLI
**Anmerkung**
Wenn Sie als beauftragter Administrator handeln, müssen Sie `--call-as DELEGATED_ADMIN` in den Befehl einfügen.
**Um Stapel zu einer StackSet mit selbstverwalteten Berechtigungen hinzuzufügen**
Verwenden Sie den **create-stack-instances**-CLI-Befehl. Geben Sie für die `--accounts` Option die Konten an, IDs für die Sie Stacks erstellen möchten.
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--accounts account_id --regions eu-west-1 us-west-2
```
**Um Stacks zu einem StackSet mit vom Service verwalteten Berechtigungen hinzuzufügen**
Verwenden Sie den **create-stack-instances**-CLI-Befehl. Geben Sie für `--deployment-targets` diese Option die Organisations- (Root-) ID oder OU an, IDs für die Sie Stacks erstellen möchten. Für Beispielbefehle, die auf bestimmte Konten abzielen, siehe [Erstellen Sie eine StackSet mit vom Service verwalteten Berechtigungen ()AWS CLI](stacksets-orgs-associate-stackset-with-org.md#stacksets-orgs-associate-stackset-with-org-cli).
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=ou-rcuk-r1qi0wl7 --regions eu-west-1 us-west-2
```
**Anmerkung**
Wenn Sie eine Organisationseinheit hinzufügen, auf die Sie StackSet bereits abzielen, werden neue Stacks in allen Konten in der Organisationseinheit CloudFormation erstellt, die noch keine Stacks von Ihnen haben StackSet (z. B. Konten, die der Organisationseinheit hinzugefügt wurden, nachdem Ihre Organisationseinheit erstellt StackSet wurde und bei denen automatische Bereitstellungen deaktiviert sind).
# Überschreiben Sie Parameterwerte auf Stacks in Ihrem CloudFormation StackSet
In bestimmten Fällen möchten Sie vielleicht, dass Stapel in bestimmten Regionen oder Konten andere Eigenschaftswerte haben als die, die in den StackSet Stacks selbst angegeben sind. So möchten Sie beispielsweise abhängig davon, ob ein Konto für die Entwicklung oder die Produktion verwendet wird, für einen bestimmten Parameter einen anderen Wert angeben. In diesen Situationen CloudFormation können Sie damit Parameterwerte in Stacks nach Konto und Region überschreiben. Sie können die Werte der Vorlagenparameter überschreiben, wenn Sie die Stapel zum ersten Mal erstellen, und Sie können die Parameterwerte für bestehende Stapel überschreiben. Sie können nur Parameter, die Sie zuvor in Stacks überschrieben haben, wieder auf die Werte setzen, die in der angegeben sind. StackSet
Das Überschreiben von Parameterwerten gilt für Stapel in den von Ihnen ausgewählten Konten und Regionen. Bei StackSet Aktualisierungen werden alle Parameterwerte, die für einen Stack überschrieben wurden, nicht aktualisiert, sondern behalten ihren überschriebenen Wert bei.
Sie können nur *Parameterwerte* überschreiben StackSet, die im angegeben sind. Um einen Parameter selbst hinzuzufügen oder zu löschen, müssen Sie die Vorlage aktualisieren. StackSet Wenn Sie einer StackSet Vorlage einen Parameter hinzufügen, müssen Sie, bevor Sie diesen Parameterwert in einem Stapel überschreiben können, zunächst alle Stapel mit dem neuen Parameter und Wert aktualisieren, der in der StackSet angegeben ist. Sobald alle Stapel mit dem neuen Parameter aktualisiert worden sind, können Sie den Parameterwert in den einzelnen Stapeln nach Belieben überschreiben.
Informationen zum Überschreiben von StackSet Parameterwerten beim Erstellen von Stacks finden Sie unter. [Stapel hinzufügen zu StackSets](stackinstances-create.md)
**Topics**
+ [Parameter auf Stapeln außer Kraft setzen (Konsole)](#stackinstances-override-console)
+ [Parameter auf Stapeln außer Kraft setzen (AWS CLI)](#stackinstances-override-cli)
## Parameter auf Stapeln außer Kraft setzen (Konsole)
**So überschreiben Sie die Parameter für bestimmte Stapel**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm den aus, den AWS-Region Sie erstellt haben. StackSet
1. **StackSets**. Wählen Sie auf der StackSets Seite Ihre aus StackSet.
1. Wenn die StackSet Option ausgewählt ist, wählen Sie im Menü **Aktionen** die Option ** StackSetParameter überschreiben** aus.
1. Geben Sie auf der Seite **Bereitstellungsoptionen festlegen** die Konten und Regionen für die Stapel an, für die Sie Überschreibungen erstellen werden.
Standardmäßig CloudFormation werden Stacks auf den angegebenen Konten innerhalb der ersten Region bereitgestellt und dann mit der nächsten Region fortgefahren usw., vorausgesetzt, dass die Bereitstellungsfehler einer Region eine festgelegte Fehlertoleranz nicht überschreiten.
1. [Selbstverwaltete Berechtigungen] Wählen Sie für **Bereitstellungsorte**die Option **Stacks in Konten bereitstellen**. Fügen Sie einige oder alle Zielkonten ein IDs, mit denen Sie Ihr StackSet Konto erstellt haben.
[Service-verwaltete Berechtigungen] Führen Sie einen der folgenden Schritte aus:
+ Wählen Sie In **Organisationseinheiten bereitstellen (OUs)** aus. Geben Sie eines oder mehrere Ziele ein, mit OUs denen Sie Ihr Ziel erstellt haben StackSet. Die überschriebenen Parameterwerte gelten nur für die Konten, die sich derzeit im Ziel befinden, OUs und für ihre untergeordneten Konten. OUs Konten, die dem Ziel OUs und ihrem Kind OUs in future hinzugefügt werden, verwenden die StackSet Standardwerte und nicht die überschriebenen Werte.
+ Wählen Sie **Deploy to accounts (Für Konten bereitstellen)** aus. Fügen Sie einige oder alle Ziel-OU IDs oder das Zielkonto ein IDs , mit dem Sie Ihre erstellt haben. StackSet
1. Fügen **Sie unter Regionen angeben** eine oder mehrere der Regionen hinzu, in denen Sie zu diesem StackSet Zweck Stacks bereitgestellt haben.
Wenn Sie mehrere Regionen hinzufügen, bestimmt die Reihenfolge der Regionen unter **Specify regions (Regionen angeben)** die Reihenfolge ihrer Bereitstellung.
1. Für **Einsatzoptionen**gehen Sie wie folgt vor:
+ Geben Sie für **Maximale Anzahl gleichzeitiger Konten**an, wie viele Konten gleichzeitig bearbeitet werden.
+ Geben Sie für **Fehlertoleranz**die maximal zulässige Anzahl von Kontoausfällen pro Region an. Die Operation wird gestoppt und nicht mit anderen Regionen fortgesetzt, sobald dieses Limit erreicht ist.
+ Für **Gleichzeitigkeit der Regionen**wählen Sie, wie die Regionen verarbeitet werden sollen: **Sequentiell** (eine Region auf einmal) oder **Parallel** (mehrere Regionen gleichzeitig).
+ Wählen Sie für **Gleichzeitigkeitsmodus**, wie sich die Gleichzeitigkeit während der Ausführung der Operation verhält.
+ **Strenge Fehlertoleranz**- Reduziert den Gleichzeitigkeitsgrad des Kontos, wenn Fehler auftreten, und bleibt dabei innerhalb der **Fehlertoleranz** \$11.
+ **Weiche Fehlertoleranz**- Behält die von Ihnen angegebene Gleichzeitigkeitsstufe (den Wert von **Maximale gleichzeitige Konten**) unabhängig von Fehlern bei.
1. Wählen Sie **Weiter** aus.
1. Aktivieren Sie auf der Seite „**Überschreibungen angeben**“ die Kontrollkästchen für die zu überschreibenden Parameter und wählen Sie dann im Menü **Überschreibungswert bearbeiten die Option StackSet Wert** **überschreiben** aus.
1. Nehmen Sie auf der Seite ** StackSet „Parameterwerte überschreiben**“ Ihre Änderungen vor und wählen Sie dann Änderungen **speichern**.
**Anmerkung**
Um für alle überschriebenen Parameter wieder den in der angegebenen Wert zu verwenden StackSet, markieren Sie alle Parameter und wählen Sie im Menü ** StackSetÜberschreibungswert** **bearbeiten die Option Auf Wert setzen**. Auf diese Weise werden alle überschriebenen Werte entfernt, sobald Sie die Stapel aktualisieren.
1. Überprüfen Sie auf der Seite **Review (Prüfen)** Ihre Auswahl. Um Änderungen vorzunehmen, wählen Sie **Bearbeiten** in dem entsprechenden Abschnitt.
1. Wenn Sie bereit sind fortzufahren, wählen Sie **Senden**.
CloudFormation beginnt mit der Aktualisierung Ihrer Stacks. **Auf der StackSet Detailseite, die geöffnet wird, wenn Sie „Senden“ wählen, können Sie den Fortschritt und den Status der Stacks einsehen.**
## Parameter auf Stapeln außer Kraft setzen (AWS CLI)
**Anmerkung**
Wenn Sie als beauftragter Administrator handeln, müssen Sie `--call-as DELEGATED_ADMIN` in den Befehl einfügen.
**So überschreiben Sie die Parameter für bestimmte Stapel**
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-instances.html) AWS CLI Befehl und geben Sie die `--parameter-overrides` Option an.
[Selbstverwaltete Berechtigungen] Geben Sie für die `--accounts` Option das Konto an, IDs für das Sie Parameterwerte in Stacks überschreiben möchten.
```
aws cloudformation update-stack-instances --stack-set-name my-stackset \
--parameter-overrides ParameterKey=Subnets,ParameterValue=subnet-1baa3351\\,subnet-27b86940 \
--accounts account_id --regions us-east-1
```
[Vom Dienst verwaltete Berechtigungen] Geben Sie für die `--deployment-targets` Option die Root-ID, OU oder das AWS Organizations Konto der Organisation an IDs, IDs für das Sie Parameter in Stacks überschreiben möchten. In diesem Beispiel überschreiben wir die Parameterwerte für Stapel in allen Konten in der OU mit der ID `ou-rcuk-1x5j1lwo` .
Die überschriebenen Parameterwerte gelten nur für die Konten, die sich derzeit in der Ziel-OU und der zugehörigen untergeordneten Organisationseinheit befinden. OUs Konten, die der Ziel-OU und ihrer untergeordneten OUs Organisation in future hinzugefügt werden, verwenden die StackSet Standardwerte und nicht die überschriebenen Werte.
```
aws cloudformation update-stack-instances --stack-set-name my-stackset \
--parameter-overrides ParameterKey=Subnets,ParameterValue=subnet-1baa3351\\,subnet-27b86940 \
--deployment-targets OrganizationalUnitIds=ou-rcuk-1x5j1lwo \
--regions us-east-1
```
1. Überprüfen Sie, ob Ihre Parameterwerte erfolgreich auf den Stapeln überschrieben wurden, indem Sie den Befehl **describe-stack-set-operation** ausführen, um den Status und die Ergebnisse Ihrer Aktualisierungsoperation anzuzeigen. Verwenden Sie als `--operation-id` die Operations-ID, die durch den Befehl **update-stack-instances** zurückgegeben wurde.
```
aws cloudformation describe-stack-set-operation --operation-id operation_ID
```
# Stapel löschen von CloudFormation StackSets
Sie können Stapel entweder StackSets über die CloudFormation Konsole oder über das löschen. AWS CLI
**Topics**
+ [Löschen Sie Stacks von Ihrer StackSet (Konsole)](#stackinstances-delete-console)
+ [Lösche Stacks von deinem StackSet ()AWS CLI](#stackinstances-delete-cli)
**Anmerkung**
Wenn Sie Stacks aus einer Organisationseinheit (OU) der obersten Ebene löschen, wird diese Organisationseinheit als Ziel entfernt. StackSet
## Löschen Sie Stacks von Ihrer StackSet (Konsole)
**So löschen Sie Stacks**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm den aus, den AWS-Region Sie erstellt haben. StackSet
1. **StackSets**. Wählen Sie auf der StackSets Seite die StackSet.
1. Wenn Sie StackSet ausgewählt sind, wählen Sie im Menü **Aktionen** die Option **Stapel löschen StackSet aus**.
1. Auf der Seite **Bereitstellungsoptionen festlegen** wählen Sie zunächst die Konten und Regionen aus, in denen Sie die Stapel löschen möchten.
1. [Selbstverwaltete Berechtigungen] Wählen Sie für **Konten**die Option **Stapel in Konten bereitstellen** oder **Stapel in Organisationseinheiten bereitstellen**.
Wenn Sie **Stapel in Konten bereitstellen**wählen, fügen Sie Ihre Zielkontonummern in das Textfeld **Kontonummern** ein, wobei Sie mehrere Nummern durch Kommas trennen.
Wenn Sie **Stapel in Organisationseinheiten bereitstellen**wählen, fügen Sie eine Ziel-OU-ID in das Textfeld **Organisationsnummern** ein, um alle Konten, die Teil der angegebenen Organisation sind, zu erfassen.
1. [Vom Dienst verwaltete Berechtigungen] Geben Sie für **Organisationseinheiten (OUs)** die Ziel-OU an. IDs
**Wichtig**
CloudFormation löscht Stapel sowohl vom angegebenen Ziel als auch vom OUs untergeordneten Ziel. OUs
Für **Konto-Filtertyp**können Sie verfeinern, bei welchen Konten Stapel gelöscht werden sollen, indem Sie eine der folgenden Optionen wählen und Kontonummern angeben.
+ **Keine** (Standard) — Löscht Stacks von allen Konten in den angegebenen Konten. OUs
+ **Schnittmenge** — Löscht nur Stapel von bestimmten einzelnen Konten innerhalb der ausgewählten Konten. OUs
+ **Unterschied** — Löscht Stacks von allen Konten in den ausgewählten Konten OUs mit Ausnahme bestimmter Konten.
+ **Vereinigung** — Löscht Stacks aus den angegebenen Konten OUs sowie aus weiteren Einzelkonten.
1. Wählen Sie für **Regionen angeben**die Regionen, aus denen Sie Stapel innerhalb der Zielkonten löschen möchten.
1. Für **Einsatzoptionen**gehen Sie wie folgt vor:
+ Geben Sie für **Maximale Anzahl gleichzeitiger Konten**an, wie viele Konten gleichzeitig bearbeitet werden.
+ Geben Sie für **Fehlertoleranz**die maximal zulässige Anzahl von Kontoausfällen pro Region an. Die Operation wird gestoppt und nicht mit anderen Regionen fortgesetzt, sobald dieses Limit erreicht ist.
+ Aktivieren Sie für **Stacks behalten** diese Option, um die Stapel und die zugehörigen Ressourcen zu speichern, wenn Sie sie aus Ihrem entfernen. StackSet Die Ressourcen bleiben in ihrem aktuellen Zustand, sind aber nicht mehr Teil von. StackSet
+ Für **Gleichzeitigkeit der Regionen**wählen Sie, wie die Regionen verarbeitet werden sollen: **Sequentiell** (eine Region auf einmal) oder **Parallel** (mehrere Regionen gleichzeitig).
+ Wählen Sie für **Gleichzeitigkeitsmodus**, wie sich die Gleichzeitigkeit während der Ausführung der Operation verhält.
+ **Strenge Fehlertoleranz**- Reduziert den Gleichzeitigkeitsgrad des Kontos, wenn Fehler auftreten, und bleibt dabei innerhalb der **Fehlertoleranz** \$11.
+ **Weiche Fehlertoleranz**- Behält die von Ihnen angegebene Gleichzeitigkeitsstufe (den Wert von **Maximale gleichzeitige Konten**) unabhängig von Fehlern bei.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie auf der Seite **Review (Prüfen)** Ihre Auswahl. Um Änderungen vorzunehmen, wählen Sie **Bearbeiten** in dem entsprechenden Abschnitt.
1. Wenn Sie bereit sind, die Stapel aus Ihrem zu entfernen StackSet, wählen Sie **Submit**.
Nachdem das Löschen des Stacks abgeschlossen ist, können Sie auf der StackSet Detailseite auf der Registerkarte **Stack-Instanzen überprüfen, ob die Stapel** von Ihrem StackSet gelöscht wurden.
## Lösche Stacks von deinem StackSet ()AWS CLI
**Anmerkung**
Wenn Sie als beauftragter Administrator handeln, müssen Sie `--call-as DELEGATED_ADMIN` in den Befehl einfügen.
Verwenden Sie den **delete-stack-instances** Befehl mit Ihrem StackSet Namen.
In diesen Beispielen verwenden wir die Option `--no-retain-stacks`, weil wir keine Stack zurückhalten. Verwenden Sie `--retain-stacks` anstelle von `--no-retain-stacks`, wenn Sie die Stack und ihre Ressourcen behalten möchten.
Geben AWS-Regionen Sie für an`--regions`, aus welchen Stapel Sie löschen möchten, z. B. `us-west-2` und`us-east-1`.
Legen Sie mit der Option `--operation-preferences` die gleichzeitige Bearbeitung von Konten und andere Einstellungen fest. Diese Beispiele verwenden zählbasierte Einstellungen. Beachten Sie, dass `MaxConcurrentCount` nicht größer sein darf als `FailureToleranceCount` \$1 1. Für prozentuale Einstellungen verwenden Sie stattdessen `FailureTolerancePercentage` oder `MaxConcurrentPercentage` .
**So löschen Sie Stapel (selbst verwaltete Berechtigungen)**
Geben Sie für die `--accounts` Option das Konto an, IDs aus dem Stapel gelöscht werden sollen.
```
aws cloudformation delete-stack-instances --stack-set-name my-stackset \
--accounts account_ID_1 account_ID_2 \
--regions us-west-2 us-east-1 \
--no-retain-stacks \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
**So löschen Sie Stapel (vom Dienst verwaltete Berechtigungen)**
Geben Sie für `--deployment-targets` die Root-ID der Organisation oder die Organisationseinheit (OU) IDs an, aus der Stapel gelöscht werden sollen.
**Wichtig**
CloudFormation löscht Stapel sowohl vom angegebenen Ziel als auch vom OUs untergeordneten Ziel. OUs
```
aws cloudformation delete-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=ou-rcuk-1x5jlwo,ou-rcuk-slr5lh0a \
--regions us-west-2 us-east-1 \
--no-retain-stacks \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
Weitere Informationen finden Sie unter [DeleteStackInstances](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStackInstances.html) in der *AWS CloudFormation -API-Referenz*.
Optional können Sie nach Abschluss des Stack-Löschvorgangs überprüfen, ob die Stapel aus Ihrem gelöscht wurden, StackSet indem Sie den **describe-stack-set-operation** Befehl ausführen, der den Status und die Ergebnisse des Löschvorgangs für Stapel anzeigt. Verwenden Sie als `--operation-id` die Operations-ID, die durch den Befehl **delete-stack-instances** zurückgegeben wurde.
```
aws cloudformation describe-stack-set-operation --stack-set-name my-stackset \
--operation-id ddf16f54-ad62-4d9b-b0ab-3ed8e9example
```
# Löschen CloudFormation StackSets
Um eine zu löschen StackSet, müssen Sie zuerst alle Stapel in der StackSet löschen. Informationen darüber, wie Sie alle Stapel löschen können, finden Sie unter [Stapel löschen von StackSets](stackinstances-delete.md).
**Topics**
+ [Lösche eine StackSet (Konsole)](#stacksets-delete-set)
+ [Löschen Sie ein StackSet (AWS CLI)](#stacksets-delete-set-cli)
+ [Löschen von Servicerollen (optional)](#stacksets-delete-roles)
## Lösche eine StackSet (Konsole)
**Um ein zu löschen StackSet**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm den aus, den AWS-Region Sie erstellt haben. StackSet
1. Wählen Sie auf der **StackSets**Seite die StackSet.
1. Wenn das StackSet ausgewählt ist, wählen Sie im Menü **Aktionen** die Option **Löschen StackSet** aus.
1. Wenn Sie aufgefordert werden, zu bestätigen, dass Sie das löschen möchten StackSet, wählen Sie **Löschen StackSet**.
## Löschen Sie ein StackSet (AWS CLI)
**Anmerkung**
Wenn Sie als beauftragter Administrator handeln, müssen Sie `--call-as DELEGATED_ADMIN` in den Befehl einfügen.
**Um ein zu löschen StackSet**
1. Verwenden Sie den folgenden **delete-stack-set**-Befehl. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **y** ein und drücken Sie anschließend **Eingabe**.
```
aws cloudformation delete-stack-set --stack-set-name my-stackset
```
1. Stellen Sie sicher, dass das gelöscht StackSet wurde, indem **list-stack-sets** Sie den Befehl ausführen. Die Ergebnisse des list-stack-sets Befehls sollten Ihren Stack mit dem Status anzeigen`DELETED`.
```
aws cloudformation list-stack-sets
```
## Löschen von Servicerollen (optional)
Wenn Sie die IAM-Servicerollen, die für die Ausführung von StackSet Vorgängen CloudFormation erforderlich sind, nicht mehr benötigen, empfehlen wir Ihnen, die Rollen zu löschen.
*Bei selbstverwalteten* Rollen die Rollen StackSets, die Sie erstellt haben. Weitere Informationen zu diesen Rollen finden Sie unter [Selbstverwaltete Berechtigungen erteilen](stacksets-prereqs-self-managed.md).
*Bei vom Dienst verwalteten StackSets* Rollen StackSets haben die Rollen, für die automatisch erstellt wurden, das Suffix `CloudFormationStackSetsOrgAdmin` im Organisationsverwaltungskonto und `CloudFormationStackSetsOrgMember` in jedem Zielkonto. Weitere Informationen finden Sie unter [Service-verknüpfte Rollen](stacksets-orgs-activate-trusted-access.md#stacksets-orgs-service-linked-roles).
**So löschen Sie eine Dienstrolle (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Rollen**, und aktivieren Sie das Kontrollkästchen neben der Rolle, die Sie löschen möchten.
1. Wählen Sie im Menü **Role actions** oben auf der Seite **Delete role**.
1. Wählen Sie im Bestätigungsdialogfeld **Yes, Delete** aus. Wenn Sie sich sicher sind, können Sie mit dem Löschen fortfahren, auch wenn das letzte Service-Zugriffsdatum noch geladen wird.
**So löschen Sie eine Dienstrolle (AWS CLI)**
+ Verwenden Sie den folgenden **delete-role**-Befehl. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **y**ein und drücken dann Enter.
```
aws iam delete-role --role-name role name
```
Weitere Informationen zum Löschen von Rollen finden Sie unter [Rollen oder Instanceprofile löschen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.
# Vermeiden Sie fehlgeschlagene StackSets Bereitstellungen mithilfe von Target Account Gates
Ein Account-Gate ist eine optionale Funktion, mit der Sie überprüfen können, ob ein Zielkonto bestimmte Anforderungen erfüllt, bevor der StackSets Betrieb CloudFormation in diesem Konto aufgenommen wird. Diese Überprüfung erfolgt über eine AWS Lambda Funktion, die als Überprüfung der Voraussetzungen dient.
Ein gängiges Beispiel für ein Account-Gate ist die Überprüfung, ob auf dem Zielkonto keine CloudWatch Alarme aktiv oder ungelöst sind. CloudFormation ruft die Lambda-Funktion jedes Mal auf, wenn Sie Stack-Operationen im Zielkonto starten, und fährt nur fort, wenn die Funktion einen `SUCCEEDED` Code zurückgibt. Wenn die Lambda-Funktion den Status zurückgibt`FAILED`, setzt Sie den angeforderten Vorgang CloudFormation nicht fort. Wenn Sie keine Lambda-Funktion für das Account-Gating konfiguriert haben, CloudFormation überspringen Sie die Prüfung und setzen Sie Ihren Vorgang fort.
Wenn die Konto-Gate-Überprüfung des Zielkontos fehlschlägt, wird der fehlgeschlagene Vorgang Ihrer angegebene Ausfalltoleranz bzw. dem Prozentsatz für Stacks angerechnet. Weitere Informationen zur Fehlertoleranz finden Sie unter [StackSet Operationsoptionen](stacksets-concepts.md#stackset-ops-options).
Account-Gating ist nur für Operationen verfügbar. StackSets Diese Funktion ist für andere CloudFormation Operationen außerhalb von StackSets nicht verfügbar.
## Voraussetzungen
Die folgenden Voraussetzungen müssen für die Kontosperrung erfüllt sein:
+ Ihre Lambda-Funktion muss den Namen `AWSCloudFormationStackSetAccountGate` tragen, um dieses Feature zu nutzen.
+ Sie **AWSCloudFormationStackSetExecutionRole**müssen über Berechtigungen verfügen, um Ihre Lambda-Funktion aufzurufen. Ohne diese Berechtigungen CloudFormation wird die Überprüfung der Kontozuweisung übersprungen und die Stack-Operationen ausgeführt.
+ Damit Konto-Gating funktioniert, muss Zielkonten die Lambda-Berechtigung `InvokeFunction` hinzugefügt werden. Die Vertrauensbeziehungs-Richtlinie des Zielkontos muss über eine Vertrauensbeziehung mit dem Administratorkonto verfügen. Es folgt ein Beispiel für eine Richtlinienanweisung, die die Lambda-Berechtigungen `InvokeFunction` erteilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "*"
}
]
}
```
------
## CloudFormation Vorlagen für die Erstellung von Lambda-Funktionen
Verwenden Sie die folgenden Beispielvorlagen, um Lambda `AWSCloudFormationStackSetAccountGate`-Funktionen zu erstellen. Um einen neuen Stapel mit einer dieser Vorlagen zu erstellen, siehe [Einen Stack von der CloudFormation Konsole aus erstellen](cfn-console-create-stack.md).
| Vorlagenspeicherort | Description |
| --- | --- |
| [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateSucceeded.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateSucceeded.yml) | Erstellt einen Stack, der eine Lambda-Konto-Gate-Funktion implementiert, die den Status `SUCCEEDED` zurückgibt. |
| [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateFailed.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateFailed.yml) | Erstellt einen Stack, der eine Lambda-Konto-Gate-Funktion implementiert, die den Status `FAILED` zurückgibt. |
# Wählen Sie den Parallelitätsmodus für CloudFormation StackSets
**Der Parallelitätsmodus** ist ein Parameter, mit dem Sie auswählen können [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_StackSetOperationPreferences.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_StackSetOperationPreferences.html), wie sich die Parallelitätsebene während des Betriebs verhält. StackSet Dabei haben Sie die Wahl zwischen den folgenden Modi:
+ **Strikte Fehlertoleranz**: Diese Option senkt den Umfang der Parallelität dynamisch, damit die Anzahl der fehlerhaften Konten niemals den Wert der **Fehlertoleranz** \$11 überschreitet. Die anfängliche tatsächliche Parallelität wird auf den Wert der Option **Maximale Anzahl gleichzeitiger Konten** oder auf den Wert der **Fehlertoleranz** \$11 festgelegt (je nachdem, welcher niedriger ist). Die tatsächliche Parallelität wird dann proportional zur Anzahl der Fehler reduziert. Dies ist das Standardverhalten.
+ **Lose Fehlertoleranz**: Diese Option entkoppelt die **Fehlertoleranz** von der tatsächlichen Parallelität. Dadurch können StackSet Operationen unabhängig von der Anzahl der Fehler auf der Parallelitätsebene ausgeführt werden, die durch den Wert „**Maximale Anzahl gleichzeitiger Konten**“ festgelegt ist.
**Strict Failure Tolerance** senkt die Bereitstellungsgeschwindigkeit, wenn StackSet Betriebsfehler auftreten, da die Parallelität mit jedem Fehler abnimmt. **Soft Failure Tolerance** priorisiert die Geschwindigkeit der Bereitstellung und nutzt CloudFormation gleichzeitig die Sicherheitsfunktionen. Auf diese Weise können Sie StackSet Betriebsfehler im Hinblick auf häufig auftretende Probleme überprüfen und beheben, z. B. Probleme im Zusammenhang mit vorhandenen Ressourcen, Dienstkontingenten und Berechtigungen.
Weitere Informationen zu Fehlern bei StackSets Stack-Vorgängen finden Sie unter[Häufige Gründe für Störungen der Stack-Operationen](stacksets-troubleshooting.md#common-reasons-for-stack-operation-failure).
Weitere Informationen zu den Optionen **Maximale Anzahl gleichzeitiger Konten** und **Fehlertoleranz** finden Sie unter [StackSet Operationsoptionen](stacksets-concepts.md#stackset-ops-options).
## So funktionieren die einzelnen Parallelitätsmodi
Die folgenden Bilder zeigen visuell, wie die einzelnen **Parallelitätsmodi** während eines StackSet Vorgangs funktionieren. Die Knotenfolge stellt eine Bereitstellung für einen einzelnen Knoten dar, AWS-Region und jeder Knoten ist ein Ziel AWS-Konto.
**Strikte Fehlertoleranz**
Wenn bei einem StackSet Vorgang, der **Strict Failure Tolerance** verwendet, der Wert für die **Fehlertoleranz** auf 5 und der Wert für die **maximale Anzahl gleichzeitiger Konten** auf 10 festgelegt ist, ist die tatsächliche Parallelität 6. Die tatsächliche Parallelität beträgt 6, da der Wert der **Fehlertoleranz** von 5 \$11 niedriger ist als der Wert für **Maximale Anzahl gleichzeitiger Konten**.
Die folgende Abbildung zeigt die Auswirkungen, die der Wert für die **Fehlertoleranz** auf den Wert „**Maximale Anzahl gleichzeitiger Konten**“ hat, und zeigt, wie sich beide Werte auf die tatsächliche Parallelität des Vorgangs auswirken: StackSet
![\[Ein StackSet Vorgang mit strikter Fehlertoleranz. Die Fehlertoleranz ist 5, die maximale Anzahl gleichzeitiger Konten ist 10 und die Gleichzeitigkeit ist 6.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/concurrency-strict-failure-tolerance-1.png)
Wenn die Bereitstellung beginnt und es fehlerhafte Stack-Instances gibt, verringert sich die tatsächliche Parallelität, um eine sichere Bereitstellung zu gewährleisten. Die tatsächliche Parallelität reduziert sich von 6 auf 5, wenn 1 Stack-Instance StackSets nicht bereitgestellt werden kann.
![\[Bei dem StackSet Vorgang, bei dem Strict Failure Tolerance verwendet wurde, gab es zwei erfolgreiche Bereitstellungen und einen Fehler.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/concurrency-strict-failure-tolerance-2.png)
![\[Der StackSet Vorgang, bei dem Strict Failure Tolerance verwendet wurde, hat die tatsächliche Parallelität auf 5 reduziert, da nun ein Fehler aufgetreten ist.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/concurrency-strict-failure-tolerance-3.png)
Der Modus **Strikte Fehlertoleranz** verringert die tatsächliche Parallelität proportional zur Anzahl der fehlerhaften Stack-Instances. Im folgenden Beispiel wird die tatsächliche Parallelität von 5 auf 3 reduziert, wenn 2 weitere Stack-Instances StackSets nicht bereitgestellt werden können, wodurch sich die Gesamtzahl der ausgefallenen Stack-Instances auf 3 erhöht.
![\[Bei dem StackSet Vorgang, bei dem Strict Failure Tolerance verwendet wurde, sind jetzt 3 Bereitstellungen fehlgeschlagen. Die Gleichzeitigkeit hat sich auf 3 reduziert.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/concurrency-strict-failure-tolerance-4.png)
StackSets schlägt beim StackSet Vorgang fehl, wenn die Anzahl der ausgefallenen Stack-Instances dem definierten Wert für die **Fehlertoleranz \$11** entspricht. Im folgenden Beispiel StackSets schlägt der Vorgang fehl, wenn es 6 ausgefallene Stack-Instances gibt und der **Fehlertoleranzwert** 5 ist.
![\[Bei dem StackSet Vorgang, bei dem Strict Failure Tolerance verwendet wurde, sind jetzt 6 Bereitstellungen fehlgeschlagen. Der StackSet Vorgang schlägt fehl.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/concurrency-strict-failure-tolerance-5.png)
In diesem Beispiel CloudFormation wurden 9 Stack-Instances (3 erfolgreich und 6 gescheitert) bereitgestellt, bevor der StackSet Vorgang gestoppt wurde.
**Lose Fehlertoleranz**
Wenn bei einem StackSet Vorgang, der **Soft Failure Tolerance** verwendet, der **Fehlertoleranzwert** auf 5 und der Wert für **maximale Anzahl gleichzeitiger Konten** auf 10 festgelegt ist, ist die tatsächliche Parallelität 10.
![\[Ein StackSet Vorgang mit Soft Failure Tolerance. Die Fehlertoleranz beträgt maximal 5 gleichzeitige Konten und die tatsächliche Gleichzeitigkeit beträgt 10.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/concurrency-soft-failure-tolerance-1.png)
Wenn die Bereitstellung beginnt und es fehlerhafte Stack-Instances gibt, ändert sich die tatsächliche Parallelität nicht. Im folgenden Beispiel ist 1 Stack-Vorgang fehlgeschlagen, die tatsächliche Parallelität bleibt jedoch bei 10.
![\[Bei der StackSet Operation mit Soft Failure Tolerance tritt der erste Fehler auf. Die tatsächliche Gleichzeitigkeit bleibt bei 10.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/concurrency-soft-failure-tolerance-2.png)
Die tatsächliche Parallelität bleibt auch nach 2 weiteren Stack-Instance-Fehlern bei 10.
![\[Der StackSet Vorgang mit Soft Failure Tolerance hat jetzt 2 Erfolge und 3 Fehlschläge, aber die tatsächliche Parallelität beträgt immer noch 10.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/concurrency-soft-failure-tolerance-3.png)
StackSets schlägt beim StackSet Vorgang fehl, wenn ausgefallene Stack-Instances den **Fehlertoleranzwert** überschreiten. Im folgenden Beispiel StackSets schlägt der Vorgang fehl, wenn 6 ausgefallene Stack-Instances vorhanden sind und die Anzahl der **Fehlertoleranz** 5 beträgt. Der Vorgang wird jedoch erst beendet, wenn die restlichen Vorgänge in der Parallelitätswarteschlange abgeschlossen sind.
![\[Der StackSet Vorgang mit Soft Failure Tolerance erreicht 6 Fehler, aber er muss den Rest der Parallelitätswarteschlange beenden.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/concurrency-soft-failure-tolerance-4.png)
StackSets setzt die Bereitstellung von Stack-Instances fort, die sich bereits in der Parallelitätswarteschlange befinden. Das bedeutet, dass die Anzahl der fehlerhaften Stack-Instances höher sein kann als die **Fehlertoleranz**. Im folgenden Beispiel sind 8 Stack-Instances ausgefallen, da in der Parallelitätswarteschlange noch 7 Operationen ausgeführt werden mussten, obwohl der StackSet Vorgang die **Fehlertoleranz** von 5 erreicht hatte.
![\[Der StackSet Vorgang weist insgesamt 8 Fehlschläge auf, da nach Erreichen des Fehlerschwellenwerts noch 7 Bereitstellungen in der Warteschlange verbleiben.\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/images/concurrency-soft-failure-tolerance-5.png)
In diesem Beispiel StackSets wurden 15 Stack-Instances (7 erfolgreich und 8 gescheitert) bereitgestellt, bevor der Stack-Vorgang gestoppt wurde.
## Wählen zwischen strikter und loser Fehlertoleranz auf Grundlage der Bereitstellungsgeschwindigkeit
Die Wahl zwischen den Modi **Strikte Fehlertoleranz** **und Weiche Fehlertoleranz** hängt von der bevorzugten Geschwindigkeit Ihrer StackSet Bereitstellung und der zulässigen Anzahl von Bereitstellungsfehlern ab.
Die folgenden Tabellen zeigen, wie jeder Parallelitätsmodus mit einem StackSet Vorgang umgeht, der beim Versuch, insgesamt 1000 Stack-Instances bereitzustellen, fehlschlägt. In jedem Szenario ist der Wert der **Fehlertoleranz** auf 100 Stack-Instances und der Wert für **Maximale Anzahl gleichzeitiger Konten** auf 250 Stack-Instances eingestellt.
In diesem Beispiel werden Konten StackSets zwar als verschiebbares Fenster in die Warteschlange gestellt (siehe[So funktionieren die einzelnen Parallelitätsmodi](#concurrency-mode-example)), aber dieses Beispiel zeigt den Vorgang in Batches, um die Geschwindigkeit der einzelnen Modi zu demonstrieren.
### Strikte Fehlertoleranz
In diesem Beispiel mit dem Modus **Strikte Fehlertoleranz** wird die tatsächliche Parallelität im Verhältnis zur Anzahl der Fehler verringert, die jeweils im vorherigen Stapel aufgetreten sind. Jeder Stapel hat 20 fehlgeschlagene Instanzen, wodurch die tatsächliche Parallelität des folgenden Batches um 20 verringert wird, bis der StackSet Vorgang den **Fehlertoleranzwert** von 100 erreicht.
In der folgenden Tabelle liegt die anfängliche tatsächliche Parallelität des ersten Stapels bei 101 Stack-Instances. Die tatsächliche Parallelität beträgt 101, da der Wert der **Fehlertoleranz** (100) \$11 niedriger ist als der Wert für **Maximale Anzahl gleichzeitiger Konten** (250). Jeder Stapel enthält 20 fehlerhafte Bereitstellungen von Stack-Instances, wodurch sich die tatsächliche Parallelität jedes nachfolgenden Stapels um 20 Stack-Instances verringert.
| **Strikte Fehlertoleranz** | **Stapel 1** | **Stapel 2** | **Stapel 3** | **Stapel 4** | **Stapel 5** | **Stapel 6** |
| --- | --- | --- | --- | --- | --- | --- |
| Anzahl der tatsächlichen Parallelität | 101 | 81 | 61 | 41 | 21 | - |
| Anzahl fehlerhafter Instances | 20 | 20 | 20 | 20 | 20 | - |
| Anzahl erfolgreicher Stack-Instances | 81 | 61 | 41 | 21 | 1 | - |
Bei dem Vorgang, bei dem **Strict Failure Tolerance** verwendet wurde, wurden 305 Stack-Instance-Bereitstellungen in 5 Batches abgeschlossen, bis der StackSet Vorgang die **Fehlertoleranz** von 100 Stack-Instances erreichte. Der StackSet Vorgang stellt erfolgreich 205 Stack-Instances bereit, bevor er fehlschlägt.
### Lose Fehlertoleranz
In diesem Beispiel mit dem Modus **Lose Fehlertoleranz** wird unabhängig von der Anzahl der fehlerhaften Instances die gleiche Anzahl der tatsächlichen Parallelität beibehalten, die durch den Wert für **Maximale Anzahl gleichzeitiger Konten** von 250 Stack-Instances definiert ist. Bei den StackSet Vorgängen wird dieselbe tatsächliche Parallelität beibehalten, bis der **Fehlertoleranzwert** von 100 Instanzen erreicht ist.
In der folgenden Tabelle liegt die anfängliche tatsächliche Parallelität des ersten Stapels bei 250 Stack-Instances. Die tatsächliche Parallelität liegt bei 250, da der Wert „**Maximale Anzahl gleichzeitiger Konten**“ auf 250 festgelegt ist und der Modus „**Weiche Fehlertoleranz**“ es StackSets ermöglicht, diesen Wert unabhängig von der Anzahl der Fehler als tatsächliche Parallelität zu verwenden. Obwohl in diesem Beispiel in jedem Stapel 50 Fehler aufgetreten sind, bleibt die tatsächliche Parallelität davon unberührt.
| **Lose Fehlertoleranz** | **Stapel 1** | **Stapel 2** | **Stapel 3** | **Stapel 4** | **Stapel 5** | **Stapel 6** |
| --- | --- | --- | --- | --- | --- | --- |
| Anzahl der tatsächlichen Parallelität | 250 | 250 | - | - | - | - |
| Anzahl fehlerhafter Instances | 50 | 50 | - | - | - | - |
| Anzahl erfolgreicher Stack-Instances | 200 | 200 | - | - | - | - |
Mit den gleichen Werten für **Maximale Anzahl gleichzeitiger Konten** und **Fehlertoleranz** wurden beim Vorgang mit dem Modus **Lose Fehlertoleranz** 500 Bereitstellungen von Stack-Instances in 2 Stapeln abgeschlossen. Der StackSet Vorgang stellt erfolgreich 400 Stack-Instances bereit, bevor er fehlschlägt.
## Auswahl des Gleichzeitigkeitsmodus (Konsole)
Wählen Sie beim Erstellen oder Aktualisieren einer StackSet auf der Seite „**Bereitstellungsoptionen festlegen**“ für den **Parallelitätsmodus** die Option **Strikte Fehlertoleranz oder **Weiche Fehlertoleranz**** aus.
## Auswahl des Gleichzeitigkeitsmodus (AWS CLI)
Sie können den `ConcurrencyMode` Parameter mit den folgenden StackSets Befehlen verwenden:
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/delete-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/delete-stack-instances.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/detect-stack-set-drift.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/detect-stack-set-drift.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/import-stacks-to-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/import-stacks-to-stack-set.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-instances.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-set.html)
Diese Befehle verfügen über einen bestehenden Parameter namens `--operation-preferences`, bei dem die Einstellung `ConcurrencyMode` verwendet werden kann. `ConcurrencyMode` kann auf einen der folgenden Werte eingestellt werden:
+ `STRICT_FAILURE_TOLERANCE`
+ `SOFT_FAILURE_TOLERANCE`
Das folgende Beispiel erstellt eine Stack-Instance unter Verwendung von `STRICT_FAILURE_TOLERANCE`,`ConcurrencyMode` wobei `FailureToleranceCount` auf 10 und `MaxConcurrentCount` auf 5 gesetzt wird.
```
aws cloudformation create-stack-instances \
--stack-set-name example-stackset \
--accounts 123456789012 \
--regions eu-west-1 \
--operation-preferences ConcurrencyMode=STRICT_FAILURE_TOLERANCE,FailureToleranceCount=10,MaxConcurrentCount=5
```
**Anmerkung**
Ausführliche Verfahren zum Erstellen und Aktualisieren eines StackSet finden Sie in den folgenden Themen:
[Erstellen StackSets (selbstverwaltete Berechtigungen)](stacksets-getting-started-create-self-managed.md)
[Erstellen StackSets (vom Service verwaltete Berechtigungen)](stacksets-orgs-associate-stackset-with-org.md)
[Aktualisieren StackSets](stacksets-update.md)
# Drifterkennung durchführen am CloudFormation StackSets
Selbst wenn Sie Ihre Stacks und die darin enthaltenen Ressourcen verwalten CloudFormation, können Benutzer diese Ressourcen außerhalb von CloudFormation ändern. Benutzer können Ressourcen direkt bearbeiten, indem sie den zugrunde liegenden Service verwenden, der die Ressource erstellt hat. *Indem Sie eine Drift-Erkennung für eine durchführen StackSet, können Sie feststellen, ob sich eine der Stack-Instances, die zu dieser Gruppe gehören, von ihrer erwarteten Konfiguration StackSet abweicht oder von der erwarteten Konfiguration abweicht.*
**Topics**
+ [Wie CloudFormation funktioniert die Drifterkennung auf einem StackSet](#stacksets-drift-how)
+ [Erkennen Sie Drift auf einer StackSet (Konsole)](#stacksets-drift-console-procedure)
+ [Erkennt Drift auf einem StackSet (AWS CLI)](#stacksets-drift-cli-procedure)
+ [Stoppen der Drifterkennung auf einem StackSet](#stacksets-drift-stop)
## Wie CloudFormation funktioniert die Drifterkennung auf einem StackSet
Wenn eine Drifterkennung auf einem CloudFormation durchgeführt wird StackSet, führt sie eine Drifterkennung auf dem Stack durch, der jeder Stack-Instance in der zugeordnet ist StackSet. CloudFormation vergleicht dazu den aktuellen Status jeder Ressource im Stack mit dem erwarteten Zustand dieser Ressource, wie in der Vorlage des Stacks definiert, und den angegebenen Eingabeparametern. Wenn der aktuelle Status einer Ressource vom erwarteten Zustand abweicht, wird davon ausgegangen, dass diese Ressource abgewichen ist. Wenn eine oder mehrere Ressourcen in einem Stack abgewichen sind, wird der Stack selbst als abgewichen angesehen, und die Stack-Instances, denen der Stack zugeordnet ist, werden auch als abgewichen angesehen. Wenn sich eine oder mehrere Stack-Instances in einem verändert StackSet haben, wird davon ausgegangen, dass die Stack-Instances StackSet selbst gedriftet sind.
Die Drift-Erkennung identifiziert nicht verwaltete Änderungen, d. h. Änderungen, die an Stacks außerhalb von vorgenommen wurden. CloudFormation Änderungen, die direkt und nicht CloudFormation auf der StackSet Ebene eines Stacks vorgenommen werden, gelten nicht als Drift. Nehmen wir zum Beispiel an, Sie haben einen Stack, der mit einer Stack-Instanz von a verknüpft ist StackSet. Wenn Sie diesen Stack aktualisieren, um eine andere Vorlage zu verwenden, wird dies nicht als Abweichung angesehen, obwohl dieser Stack jetzt eine andere Vorlage hat als alle anderen Stacks, die zu dem StackSet gehören. CloudFormation Dies liegt daran, dass der Stack immer noch mit seiner erwarteten Vorlagen- und Parameterkonfiguration in CloudFormation übereinstimmt.
Ausführliche Informationen darüber, wie die CloudFormation Drifterkennung auf einem Stack durchgeführt wird, finden Sie unter[Erkennen Sie nicht verwaltete Konfigurationsänderungen an Stacks und Ressourcen mit Drift Detection](using-cfn-stack-drift.md).
Da die CloudFormation Drifterkennung für jeden Stapel einzeln durchgeführt wird, werden bei der Bestimmung, ob ein Stapel driftet ist, alle überschriebenen Parameterwerte berücksichtigt. Weitere Hinweise zum Überschreiben von Vorlagenparametern in Stack-Instances finden Sie unter [Überschreiben Sie Parameterwerte auf Stacks in Ihrem CloudFormation StackSet](stackinstances-override.md).
Wenn Sie die Drifterkennung [direkt auf einem Stack](using-cfn-stack-drift.md) durchführen, der einer Stack-Instance zugeordnet ist, sind diese Drift-Ergebnisse nicht auf der **StackSets**Konsolenseite verfügbar.
## Erkennen Sie Drift auf einer StackSet (Konsole)
**Um Drift auf einem zu erkennen StackSet**
1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie auf der **StackSets**Seite die StackSet aus, für die Sie die Drift-Erkennung durchführen möchten.
1. Wählen Sie im Menü **Aktionen** die Option **Abweichungen erkennen** aus.
CloudFormation zeigt eine Informationsleiste an, in der angegeben wird, dass die Drifterkennung für das gewählte Objekt eingeleitet wurde StackSet.
1. Optional: So überwachen Sie den Fortschritt des Abweichungserkennungsvorgangs:
1. Wählen Sie den StackSet Namen aus, um die **Stackset-Detailseite** anzuzeigen.
1. Wählen Sie die Registerkarte **Vorgänge**, den Abweichungserkennungsvorgang und dann **Abweichungsdetails anzeigen** aus.
CloudFormation zeigt das Dialogfeld mit den **Vorgangsdetails** an.
1. Warten Sie, bis der Vorgang zur Drifterkennung CloudFormation abgeschlossen ist. Wenn der Vorgang zur Drifterkennung abgeschlossen ist, werden der **Driftstatus** und die **Uhrzeit der letzten Driftprüfung** für Ihren CloudFormation aktualisiert StackSet. Diese Felder sind auf der Registerkarte „**Übersicht**“ der **StackSet Detailseite** für die ausgewählten Felder aufgeführt StackSet.
Der Vorgang zur Drifterkennung kann einige Zeit in Anspruch nehmen, abhängig von der Anzahl der in der StackSet enthaltenen Stack-Instances und der Anzahl der in der enthaltenen Ressourcen StackSet. Sie können jeweils nur einen einzigen Drifterkennungsvorgang für eine bestimmte StackSet Datei ausführen. CloudFormation setzt die Drifterkennung fort, auch nachdem Sie die Informationsleiste geschlossen haben.
1. Um die Ergebnisse der Drifterkennung für die Stack-Instances in a zu überprüfen StackSet, wählen Sie die Registerkarte **Stack-Instances** aus.
In der Spalte **Stack-Name** wird der Name des Stacks aufgeführt, der jeder Stack-Instance zugeordnet ist, und in der Spalte **Abweichungsstatus** wird der Abweichungsstatus dieses Stacks aufgeführt. Ein Stack gilt als abgewichen, wenn eine oder mehrere seiner Ressourcen abgewichen sind.
1. So überprüfen Sie die Ergebnisse der Abweichungserkennung für den Stack, der mit einer bestimmten Stack-Instance verknüpft ist:
1. Wählen Sie die Registerkarte **Vorgänge** aus.
1. Wählen Sie den Abweichungsvorgang aus, für den Sie die Ergebnisse der Abweichungserkennung ansehen möchten. Der Status der Stack-Instance und der Grund für den ausgewählten Vorgang werden in einem geteilten Fenster angezeigt. Bei einem Abweichungsvorgang wird in der Spalte „Statusgrund“ der Abweichungsstatus einer Stack-Instance angezeigt.
1. Wählen Sie die Stack-Instance aus, für die Sie Abweichungsdetails sehen möchten, und gehen Sie dann auf **Ressourcenabweichungen anzeigen**. In der Tabelle **Ressourcenabweichungsstatus** auf der Seite **Ressourcenabweichungen** werden alle Stack-Ressourcen mit ihrem jeweiligen Abweichungsstatus aufgeführt und Sie sehen, wann für die einzelnen Ressourcen zuletzt die Abweichungserkennung eingeleitet wurde. Die logische ID und die physische ID jeder Ressource werden angezeigt, um Ihnen bei der Identifizierung zu helfen.
1. Sie können die Ressourcen basierend auf ihrem Abweichungsstatus mithilfe der Spalte **Drift status (Abweichungsstatus)** sortieren.
So zeigen Sie die Details zu einer geänderten Ressource an:
1. Wenn Sie die Ressource ausgewählt haben, wählen Sie **Abweichungsdetails anzeigen** aus.
CloudFormation zeigt die Drift-Detailseite für diese bestimmte Ressource an. Auf dieser Seite werden die Unterschiede der Ressource aufgelistet. Außerdem werden die erwarteten und aktuellen Eigenschaftswerte der Ressource aufgeführt.
**Anmerkung**
Wenn die zugehörige Region bzw. das Konto des Stacks von der Region und dem Konto abweichen, in dem Sie derzeit angemeldet sind, ist die Schaltfläche **Abweichung erkennen** deaktiviert und Sie können die Details nicht anzeigen.
## Erkennt Drift auf einem StackSet (AWS CLI)
Gehen Sie wie folgt vor AWS CLI, um Drift auf einem gesamten Stack mithilfe von zu erkennen:
**Um Drift auf einem zu erkennen StackSet**
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/detect-stack-set-drift.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/detect-stack-set-drift.html)Befehl, um Drift bei einer gesamten Stack-Instance StackSet und den zugehörigen Stack-Instances zu erkennen.
Das folgende Beispiel initiiert die Drifterkennung auf dem StackSet`stack-set-drift-example`.
```
aws cloudformation detect-stack-set-drift \
--stack-set-name stack-set-drift-example
```
Ausgabe:
```
{
"OperationId": "c36e44aa-3a83-411a-b503-cb611example"
}
```
1. Da StackSet Drifterkennungsvorgänge lange dauern können, verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html)Befehl, um den Status des Drift-Vorgangs zu überwachen. Dieser Befehl verwendet die vom **detect-stack-set-drift** Befehl zurückgegebene StackSet Vorgangs-ID.
In den folgenden Beispielen wird die Operations-ID aus dem vorherigen Beispiel verwendet, um Informationen über den Vorgang zur StackSet Drifterkennung zurückzugeben. In diesem Beispiel wird der Vorgang noch ausgeführt. Von den sieben damit StackSet verknüpften Stack-Instances wurde bei einer Stack-Instance bereits ein Drift festgestellt, zwei Instances sind synchron und die Drift-Erkennung für die verbleibenden vier Stack-Instances ist noch im Gange. Da bei einer Instance ein Drift-Status eingetreten ist, ist der Drift-Status der Instance StackSet jetzt. `DRIFTED`
```
aws cloudformation describe-stack-set-operation \
--stack-set-name stack-set-drift-example \
--operation-id c36e44aa-3a83-411a-b503-cb611example
```
Ausgabe:
```
{
"StackSetOperation": {
"Status": "RUNNING",
"AdministrationRoleARN": "arn:aws:iam::123456789012:role/AWSCloudFormationStackSetAdministrationRole",
"OperationPreferences": {
"RegionOrder": []
},
"ExecutionRoleName": "AWSCloudFormationStackSetExecutionRole",
"StackSetDriftDetectionDetails": {
"DriftedStackInstancesCount": 1,
"TotalStackInstancesCount": 7,
"LastDriftCheckTimestamp": "2019-12-04T20:34:28.543Z",
"InSyncStackInstancesCount": 2,
"InProgressStackInstancesCount": 4,
"DriftStatus": "DRIFTED",
"FailedStackInstancesCount": 0
},
"Action": "DETECT_DRIFT",
"CreationTimestamp": "2019-12-04T20:33:13.673Z",
"StackSetId": "stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22example",
"OperationId": "c36e44aa-3a83-411a-b503-cb611example"
}
}
```
Wenn Sie den gleichen Befehl später ausführen, werden in diesem Beispiel die Informationen angezeigt, die zurückgegeben werden, sobald der Abweichungserkennungsvorgang abgeschlossen ist. Zwei der insgesamt sieben Stack-Instances, die damit in Verbindung stehen, StackSet haben sich verändert, sodass der Drift-Status der Instances StackSet sich wie folgt darstellt. `DRIFTED`
```
aws cloudformation describe-stack-set-operation \
--stack-set-name stack-set-drift-example \
--operation-id c36e44aa-3a83-411a-b503-cb611example
```
Ausgabe:
```
{
"StackSetOperation": {
"Status": "SUCCEEDED",
"AdministrationRoleARN": "arn:aws:iam::123456789012:role/AWSCloudFormationStackSetAdministrationRole",
"OperationPreferences": {
"RegionOrder": []
}
"ExecutionRoleName": "AWSCloudFormationStackSetExecutionRole",
"EndTimestamp": "2019-12-04T20:37:32.829Z",
"StackSetDriftDetectionDetails": {
"DriftedStackInstancesCount": 2,
"TotalStackInstancesCount": 7,
"LastDriftCheckTimestamp": "2019-12-04T20:36:55.612Z",
"InSyncStackInstancesCount": 5,
"InProgressStackInstancesCount": 0,
"DriftStatus": "DRIFTED",
"FailedStackInstancesCount": 0
},
"Action": "DETECT_DRIFT",
"CreationTimestamp": "2019-12-04T20:33:13.673Z",
"StackSetId": "stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22example",
"OperationId": "c36e44aa-3a83-411a-b503-cb611example"
}
}
```
1. Wenn der Vorgang zur StackSet Drifterkennung abgeschlossen ist, verwenden Sie die **list-stack-instance-resource-drifts** Befehle **describe-stack-set****list-stack-instances**,**describe-stack-instance**, und, um die Ergebnisse zu überprüfen.
Der Befehl [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set.html) enthält die gleichen detaillierten Driftinformationen, die auch der Befehl **describe-stack-set-operation** liefert.
```
aws cloudformation describe-stack-set \
--stack-set-name stack-set-drift-example
```
Ausgabe:
```
{
"StackSet": {
"Status": "ACTIVE",
"Description": "Demonstration of drift detection on stack sets.",
"Parameters": [],
"Tags": [
{
"Value": "Drift detection",
"Key": "Feature"
}
],
"ExecutionRoleName": "AWSCloudFormationStackSetExecutionRole",
"Capabilities": [],
"AdministrationRoleARN": "arn:aws:iam::123456789012:role/AWSCloudFormationStackSetAdministrationRole",
"StackSetDriftDetectionDetails": {
"DriftedStackInstancesCount": 2,
"TotalStackInstancesCount": 7,
"LastDriftCheckTimestamp": "2019-12-04T20:36:55.612Z",
"InProgressStackInstancesCount": 0,
"DriftStatus": "DRIFTED",
"DriftDetectionStatus": "COMPLETED",
"InSyncStackInstancesCount": 5,
"FailedStackInstancesCount": 0
},
"StackSetARN": "arn:aws:cloudformation:us-east-1:123456789012:stackset/stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22example",
"TemplateBody": [details omitted],
"StackSetId": "stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22ebexample",
"StackSetName": "stack-set-drift-example"
}
}
```
Sie können den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-instances.html)Befehl verwenden, um zusammenfassende Informationen über die Stack-Instances zurückzugeben, die mit a verknüpft sind StackSet, einschließlich des Drift-Status jeder Stack-Instance.
In diesem Beispiel `DRIFTED` können Sie **list-stack-instances** anhand des Beispiels StackSet mit eingestelltem Driftstatus-Filter ermitteln, welche zwei Stack-Instances den Drift-Status haben`DRIFTED`.
```
aws cloudformation list-stack-instances \
--stack-set-name stack-set-drift-example \
--filters Name=DRIFT_STATUS,Values=DRIFTED
```
Ausgabe:
```
{
"Summaries": [
{
"StackId": "arn:aws:cloudformation:eu-west-1:123456789012:stack/StackSet-stack-set-drift-example-b0fb6083-60c0-4e39-af15-2f071e0db90c/0e4f0940-16d4-11ea-93d8-0641cexample",
"Status": "CURRENT",
"Account": "012345678910",
"Region": "eu-west-1",
"LastDriftCheckTimestamp": "2019-12-04T20:37:32.687Z",
"DriftStatus": "DRIFTED",
"StackSetId": "stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22eexample",
"LastOperationId": "c36e44aa-3a83-411a-b503-cb611example"
},
{
"StackId": "arn:aws:cloudformation:us-east-1:123456789012:stack/StackSet-stack-set-drift-example-b7fde68e-e541-44c2-b33d-ef2e2988071a/008e6030-16d4-11ea-8090-12f89example",
"Status": "CURRENT",
"Account": "123456789012",
"Region": "us-east-1",
"LastDriftCheckTimestamp": "2019-12-04T20:34:28.275Z",
"DriftStatus": "DRIFTED",
"StackSetId": "stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22eexample",
"LastOperationId": "c36e44aa-3a83-411a-b503-cb611example"
},
[additional stack instances omitted]
]
}
```
Der Befehl [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-instance.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-instance.html) gibt diese Informationen ebenfalls zurück, allerdings für eine einzelne Stack-Instance, wie im folgenden Beispiel.
```
aws cloudformation describe-stack-instance \
--stack-set-name stack-set-drift-example \
--stack-instance-account 012345678910 --stack-instance-region us-east-1
```
Ausgabe:
```
{
"StackInstance": {
"StackId": "arn:aws:cloudformation:us-east-1:123456789012:stack/StackSet-stack-set-drift-example-b7fde68e-e541-44c2-b33d-ef2e2988071a/008e6030-16d4-11ea-8090-12f89example",
"Status": "CURRENT",
"Account": "123456789012",
"Region": "us-east-1",
"ParameterOverrides": [],
"DriftStatus": "DRIFTED",
"LastDriftCheckTimestamp": "2019-12-04T20:34:28.275Z",
"StackSetId": "stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22eexample",
"LastOperationId": "c36e44aa-3a83-411a-b503-cb611example"
}
}
```
1. Sobald Sie festgestellt haben, welche Stack-Instances gedriftet sind, können Sie die Informationen über die Stack-Instances, die von den Befehlen **list-stack-instances** oder **describe-stack-instance** zurückgegeben werden, verwenden, um den Befehl [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-instance-resource-drifts.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-instance-resource-drifts.html) auszuführen. Dieser Befehl gibt detaillierte Informationen darüber zurück, welche Ressourcen im Stack für einen bestimmten Abweichungsvorgang abgewichen sind.
Im folgenden Beispiel wird der Parameter `--stack-instance-resource-drift-statuses` verwendet, um Informationen zur Stack-Abweichung für die Ressourcen abzurufen, die im Abweichungsvorgang aus dem vorherigen Beispiel geändert oder gelöscht wurden. Die Anfrage gibt Informationen über die eine Ressource zurück, die geändert wurde, einschließlich Details über zwei ihrer Eigenschaften und deren geänderte Werte. Es wurden keine Ressourcen gelöscht.
```
aws cloudformation list-stack-instance-resource-drifts \
--stack-set-name my-stack-set-with-resource-drift \
--stack-instance-account 123456789012 \
--stack-instance-region us-east-1 \
--operation-id c36e44aa-3a83-411a-b503-cb611example \
--stack-instance-resource-drift-statuses MODIFIED DELETED
```
Ausgabe:
```
{
"Summaries": [
{
"StackId": "arn:aws:cloudformation:us-east-1:123456789012:stack/my-stack-set-with-resource-drift/489e5570-df85-11e7-a7d9-50example",
"ResourceType": "AWS::SQS::Queue",
"Timestamp": "2018-03-26T17:23:34.489Z",
"PhysicalResourceId": "https://sqs.us-east-1.amazonaws.com/123456789012/my-stack-with-resource-drift-Queue-494PBHCO76H4",
"StackResourceDriftStatus": "MODIFIED",
"PropertyDifferences": [
{
"PropertyPath": "/DelaySeconds",
"ActualValue": "120",
"ExpectedValue": "20",
"DifferenceType": "NOT_EQUAL"
},
{
"PropertyPath": "/RedrivePolicy/maxReceiveCount",
"ActualValue": "12",
"ExpectedValue": "10",
"DifferenceType": "NOT_EQUAL"
}
],
"LogicalResourceId": "Queue"
}
]
}
```
## Stoppen der Drifterkennung auf einem StackSet
Da die Drifterkennung auf einem ein langwieriger Vorgang sein StackSet kann, kann es vorkommen, dass Sie einen Drifterkennungsvorgang beenden möchten, der gerade auf einem StackSet ausgeführt wird.
**Um die Drifterkennung auf einer StackSet (Konsole) zu beenden**
1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie auf der **StackSets**Seite den Namen des. StackSet
CloudFormation zeigt die **StackSets Detailseite** für das Ausgewählte an StackSet.
1. Wählen Sie auf der **StackSets Detailseite** die Registerkarte **Operationen** und dann den Vorgang zur Drifterkennung aus.
1. Wählen Sie **Vorgang stoppen** aus.
**Um die Drifterkennung auf einem StackSet (AWS CLI) zu beenden**
+ Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/stop-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/stop-stack-set-operation.html). Sie müssen sowohl den StackSet Namen als auch die Vorgangs-ID des StackSet Drifterkennungsvorgangs angeben.
```
aws cloudformation stop-stack-set-operation \
--stack-set-name stack-set-drift-example \
--operation-id 624af370-311a-11e8-b6b7-500cexample
```
# Stapel importieren in CloudFormation StackSets
Ein Stack-Importvorgang kann bestehende Stacks in neue oder bestehende importieren StackSets, sodass Sie vorhandene Stacks in einen Vorgang migrieren können. StackSet
Bei der *Selbstverwaltung* StackSets können beim Importvorgang Stacks in das Administratorkonto oder in verschiedene Zielkonten und importiert werden. AWS-Regionen Bei *Service Managed* StackSets kann der Importvorgang jeden beliebigen Stack importieren, der sich in demselben AWS Organizations Verwaltungskonto befindet.
Im Folgenden finden Sie Überlegungen und Einschränkungen beim Import von Stacks in: StackSets
+ Der Importvorgang kann bis zu 10 Stapel mithilfe eines Inline-Stacks IDs oder bis zu 200 Stapel mithilfe eines Amazon S3 S3-Objekts importieren.
+ Die Eigenschaft `NoEcho` wird nicht unterstützt. Stapel, die Folgendes enthalten, werden `NoEcho` nicht durch Import in neue StackSets importiert. StackSet
+ Stapel können nur zu einem gehören. StackSet
+ Sie können Stack-Tags für die implementieren, StackSet indem Sie beim Stack-Import Tags explizit als Parameter angeben.
+ Die benutzerdefinierten Parameter-Überschreibungen eines Stacks sind während des Importvorgangs nicht betroffen.
+ Parameter importierter Stack-Instances können nicht mit der Option ** StackSet Details bearbeiten** aktualisiert werden. Sie müssen die ** StackSet Override-Parameter** verwenden. Weitere Informationen zum Überschreiben von Parametern finden Sie unter [Parameter auf Stapeln außer Kraft setzen](stackinstances-override.md).
+ Die StackSets Kontingente und Stack-Instances gelten beim Import von Stacks. Weitere Informationen zu Kontingenten finden Sie unter [CloudFormation Kontingente verstehen](cloudformation-limits.md).
**Topics**
+ [Selbstverwalteter Stack-Import für CloudFormation StackSets](self-managed-import.md)
+ [Vom Service verwalteter Stack-Import für CloudFormation StackSets](service-managed-import.md)
+ [Stack-Importe rückgängig machen in CloudFormation StackSets](revert-stackset-import.md)
# Selbstverwalteter Stack-Import für CloudFormation StackSets
Mit dem CloudFormation Stack-Importvorgang können vorhandene Stacks in neue oder bestehende Stacks importiert werden StackSets, sodass Sie vorhandene Stacks in einen StackSet Vorgang migrieren können. Durch die Verwendung von Stack-Import vermeiden Sie Ausfallzeiten und Ausfälle, ohne diese Ressourcen zu löschen und neu zu erstellen. Sobald der Stack in einen importiert wurde StackSet, wird der ursprüngliche Stack zu einer Stack-Instanz des angegebenen Stack-Sets.
**Überlegungen für selbstverwaltete Stack-Importe**
+ Der Stack-Importvorgang erfordert ein Administratorkonto, in dem Sie ein Konto erstellen, StackSet und ein Zielkonto, das einen Stack enthält.
+ Das Zielkonto muss die Berechtigung haben, den `GetTemplate`-Vorgang mit der Eingabe der Stack-ID oder des ARN zu verwenden. Aus diesem Grund müssen Ihrem Administratorkonto **AWSCloudFormationStackSetsExectionRole**Berechtigungen erteilt **AWSCloudFormationStackSetAdministrationRole**werden.
**Topics**
+ [Importiert einen vorhandenen Stack in einen neuen StackSet (Konsole)](#import-stacks-to-stack-set)
+ [Importiert einen vorhandenen Stack in einen vorhandenen StackSet (Konsole)](#import-stack-to-existing-stackset)
+ [Importiert einen Stack in eine StackSet (AWS CLI)](#importing-stack-to-stackset.cli)
## Importiert einen vorhandenen Stack in einen neuen StackSet (Konsole)
Bevor Sie beginnen, identifizieren Sie den Stapel, den Sie importieren möchten.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. **StackSets**.
1. **Wählen Sie oben auf der **StackSets**Seite Create aus. StackSet**
1. Auf der Seite **Vorlage auswählen** geben Sie eine Vorlage mit einer der folgenden Optionen an und wählen **Weiter**.
+ Wählen Sie **Amazon-S3-URL** aus und geben Sie dann die URL für Ihre Vorlage im Textfeld an.
+ Wählen Sie **Upload a template file** (Vorlagendatei hochladen) aus und suchen Sie nach Ihrer Vorlage.
+ Wählen Sie **From Stack-ID** und geben Sie Ihre Stack-ID ein.
1. Geben Sie auf der Seite „** StackSet Details angeben**“ den Namen einer Datei ein, die StackSet Sie erstellen möchten, und klicken Sie auf **Weiter**.
(Optional) Geben Sie eine Beschreibung von ein StackSet.
1. Überprüfen Sie auf der Seite „** StackSet Optionen konfigurieren**“ Ihre Auswahl und wählen Sie **Weiter**.
1. Wählen Sie auf der Seite **Bereitstellungsoptionen festlegen** die Option **Stapel in Stapelsatz importieren**.
1. Geben Sie die Stack-ID des Stacks, den Sie importieren möchten, in das Feld **Stacks to import** (Zu importierende Stacks) ein. Beispiel, `arn:aws:cloudformation:us-east-1:123456789012:stack/StackToImport/f449b250-b969-11e0-a185-5081d0136786`.
(Optional) Wählen Sie **Weitere Stack-ID hinzufügen** und geben Sie die Stack-ID eines anderen Stacks ein, den Sie importieren möchten. Sie können bis zu 10 Stacks pro Stack-Importvorgang hinzufügen.
1. Überprüfen Sie Ihre Bereitstellungsoptionen und wählen Sie **Weiter**.
1. **Überprüfen Sie** auf der Seite „Überprüfen“ Ihre Auswahl und Ihre StackSet Eigenschaften. Wenn Sie bereit sind, Ihren Stack in Ihren zu importieren StackSet, wählen Sie **Submit**.
**Ergebnisse**: Der importierte Stack ist jetzt eine Stack-Instanz des angegebenen StackSet. Um mehr über den Status des Stapelimports zu erfahren, lesen Sie [StackSets Statuscodes](stacksets-concepts.md#stackset-status-codes).
## Importiert einen vorhandenen Stack in einen vorhandenen StackSet (Konsole)
Bevor Sie beginnen, identifizieren Sie den Stapel, den Sie importieren möchten.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. **StackSets**.
1. Wählen Sie auf der **StackSets**Seite den StackSet aus, in den Sie einen Stack importieren möchten.
1. Wenn die StackSet Option ausgewählt ist, wählen **Sie im Menü **Aktionen** die Option Stapel hinzufügen StackSet** aus.
1. Wählen Sie auf der Seite **Bereitstellungsoptionen festlegen** die Option **Stapel in Stapelsatz importieren** und geben Sie die Stapel-ID des Stapels, den Sie importieren möchten, in das Feld **Zu importierende Stapel** ein. Beispiel, `arn:aws:cloudformation:us-east-1:123456789012:stack/StackToImport/f449b250-b969-11e0-a185-5081d0136786`.
(Optional) Wählen Sie **Weitere Stack-ID hinzufügen** und geben Sie die Stack-ID eines anderen Stacks ein, den Sie importieren möchten. Sie können bis zu 10 Stacks pro Stack-Importvorgang hinzufügen.
1. Wählen Sie **Weiter** aus.
1. Auf der Seite **Überschreibungen festlegen** überprüfen Sie Ihre Auswahl und wählen **Weiter**.
1. **Überprüfe** auf der Seite „Überprüfen“ deine Auswahl und deine StackSet Eigenschaften. Wenn Sie bereit sind, Ihre zu erstellen StackSet, wählen Sie **Absenden**.
**Ergebnisse**: Der importierte Stack ist jetzt eine Stack-Instanz des angegebenen StackSet. Um mehr über den Status des Stapelimports zu erfahren, lesen Sie [StackSets Statuscodes](stacksets-concepts.md#stackset-status-codes).
## Importiert einen Stack in eine StackSet (AWS CLI)
**Um einen vorhandenen Stapel in einen neuen zu importieren StackSet**
Der folgende `create-stack-set` Befehl erstellt einen StackSet und importiert den angegebenen Stack. Der zu importierende Stapel wird durch seinen ARN identifiziert. Ersetzen Sie den Platzhaltertext durch Ihre eigenen Informationen.
```
aws cloudformation create-stack-set \
--stack-set-name MyStackSet \
--stack-id arn:aws:cloudformation:us-east-1:123456789012:stack/StackToImport/466df9e0-0dff-08e3-8e2f-5088487c4896 \
--administration-role-arn arn:aws:iam::123456789012:role/AWSCloudFormationStackSetAdministrationRole \
--execution-role-name AWSCloudFormationStackSetExecutionRole
```
**Um einen vorhandenen Stapel in einen vorhandenen zu importieren StackSet**
Der folgende `import-stacks-to-stack-sets` Befehl importiert den angegebenen Stack in den *MyStackSet* StackSet. Der zu importierende Stapel wird durch seinen ARN identifiziert. Ersetzen Sie den Platzhaltertext durch Ihre eigenen Informationen.
```
aws cloudformation import-stacks-to-stack-set \
--stack-set MyStackSet \
--stack-ids arn:aws:cloudformation:us-east-1:123456789012:stack/StackToImport/f449b250-b969-11e0-a185-5081d0136786
```
Um mehr als einen Stapel anzugeben, verwenden Sie das folgende Format für den Wert der Option `--stack-ids` .
```
--stack-ids "arn_1" "arn_2"
```
**So klonen Sie den importierten Stapel in andere Regionen und Konten**
Der folgende `create-stack-instances` Befehl fügt Stack-Instances zu Ihrem hinzu StackSet. Ersetzen Sie den Platzhaltertext durch Ihre eigenen Informationen.
```
aws cloudformation create-stack-instances \
--stack-set-name MyStackSet \
--accounts '["account_ID_1","account_ID_2"]' \
--regions '["region_1","region_2"]'
```
# Vom Service verwalteter Stack-Import für CloudFormation StackSets
Der CloudFormation Stapelimportvorgang kann vorhandene Stapel in neue oder bestehende importieren StackSets, sodass Sie vorhandene Stapel zu einem StackSet Vorgang migrieren können. StackSets erweitert die Funktionalität von Stacks, sodass Sie Stacks für mehrere Konten und Regionen mit einem einzigen Vorgang erstellen, aktualisieren oder löschen können.
**Überlegungen für dienstgeführte Stack-Importe**
+ Für den Stack-Import ist ein Verwaltungskonto oder ein delegiertes Administratorkonto erforderlich, mit dem Sie die zugehörigen Daten verwalten können, AWS Organizations z. B. um den vertrauenswürdigen Zugriff zu aktivieren. StackSets
+ Bei den Zielkonten muss es sich um Mitglieder des vom Verwaltungskonto AWS Organizations verwalteten Kontos oder des delegierten Administratorkontos handeln.
+ Der Zielstapel ist in einem der Ziele OUs vorhanden.
+ Das Zielkonto sollte Mitglied von sein AWS Organizations.
+ AWS Organizations Der Zugriff sollte in dem `ACTIVATED` Bundesstaat erfolgen, in dem die Organizations tätig sind.
+ Stacks, die importiert werden, sollten in einem der Mitgliedskonten vorhanden sein und nicht im Verwaltungskonto.
**Topics**
+ [Importieren Sie einen vom Service verwalteten Stack in einen neuen Stack StackSet (Konsole)](#import-service-managed-stack-to-new-stackset)
+ [Erstellen Sie einen vom Service verwalteten Stack und importieren Sie ihn in einen vorhandenen Stack StackSet (Konsole)](#import-service-managed-stack-to-existing-stackset)
+ [Importieren Sie einen vom Service verwalteten Stack in einen vorhandenen Stack StackSet (Konsole)](#import-service-managed-stack-to-existing-stackset-console)
+ [Einen vom Service verwalteten Stack in einen StackSet () importieren AWS CLI](#import-service-managed-stack-to-stackset.cli)
## Importieren Sie einen vom Service verwalteten Stack in einen neuen Stack StackSet (Konsole)
Importieren Sie einen Stack in einen neuen StackSet mit dem AWS-Managementkonsole
Um einen neuen Stack in einen zu importieren StackSet, identifizieren Sie einen Stack, der die Ressource enthält, die Sie importieren möchten.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. **StackSets**.
1. **Wählen Sie oben auf der **StackSets**Seite Create aus. StackSet**
1. Gehen Sie auf der Seite **Vorlage auswählen** wie folgt vor:
1. Wählen Sie als **StackSet Berechtigungsmodell** vom **Dienst verwaltete Berechtigungen** aus.
1. Für **Voraussetzung- Vorlage vorbereiten**wählen Sie **Vorlage ist bereit**und wählen Sie Ihre Vorlage mit einer der folgenden Optionen:
+ Für **Amazon S3 URL**geben Sie Ihre Amazon S3 URL in das Feld **Amazon S3 URL** ein.
+ Wählen **Sie für „Eine Vorlagendatei hochladen**“ eine CloudFormation Vorlage auf Ihrem lokalen Computer aus.
Übernehmen Sie Ihre Einstellungen und wählen Sie **Next** (Weiter).
1. Gehen Sie auf der Seite „** StackSet Details angeben**“ wie folgt vor:
1. Geben Sie einen StackSet Namen in das **StackSet Namensfeld** ein.
1. (Optional) Geben Sie im Beschreibungsbereich eine **StackSet Beschreibung** ein.
Überprüfen Sie auf der Seite „** StackSet Optionen konfigurieren**“ Ihre Auswahl und wählen Sie **Weiter**.
1. Gehen Sie auf der Seite **Bereitstellungsoptionen festlegen** wie folgt vor:
1. Wählen Sie für **Stapel zum Stapelsatz hinzufügen**die Option **Stapel zum Stapelsatz importieren**.
1. Wählen Sie für **Stacks to import** (Zu importierende Stacks) Ihre Stack-Import-Methode aus.
1. Geben Sie für **Stack-ID** Ihre Stack ID ein.
1. Für **Stack URL** geben Sie die Amazon S3 URL ein.
1. Führen Sie unter **Assoziierte Organisationseinheiten**folgende Schritte aus:
1. Wählen Sie **Mit Organisation verknüpfen** um die Stamm-OU zu verwenden.
1. Wählen Sie **Mit Organisationseinheiten verknüpfen (OUs)**, um die übergeordnete Organisationseinheit IDs für die zu importierenden Stapel einzugeben. Wenn zum Beispiel `Stack 1` und `Stack 2` unter `OU1` und `Stack 3` unter `OU2` liegen, geben Sie `OU1` und `OU2` ein.
Übernehmen Sie Ihre Einstellungen und wählen Sie **Next** (Weiter).
1. Überprüfen Sie Ihre Einstellungen auf der Seite **Review** (Überprüfen) und wählen Sie **Submit** (Absenden).
## Erstellen Sie einen vom Service verwalteten Stack und importieren Sie ihn in einen vorhandenen Stack StackSet (Konsole)
Um einen vorhandenen Stack in einen neuen zu importieren StackSet, identifizieren Sie einen Stack, der die Ressource enthält, die Sie importieren möchten.
**Um einen Stapel zu erstellen StackSet und zu importieren**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. **StackSets**.
1. **Wählen Sie oben auf der **StackSets**Seite Create aus. StackSet**
1. Gehen Sie auf der Seite **Vorlage auswählen** wie folgt vor:
1. Wählen Sie als **StackSet Berechtigungsmodell** vom **Dienst verwaltete Berechtigungen** aus.
1. Für **Voraussetzung- Vorlage vorbereiten**wählen Sie **Vorlage ist bereit**und wählen Sie Ihre Vorlage mit einer der folgenden Optionen:
+ Für **Amazon S3 URL**geben Sie Ihre Amazon S3 URL in das Feld **Amazon S3 URL** ein.
+ Wählen **Sie für „Eine Vorlagendatei hochladen**“ eine CloudFormation Vorlage auf Ihrem lokalen Computer aus.
Übernehmen Sie Ihre Einstellungen und wählen Sie **Next** (Weiter).
1. Gehen Sie auf der Seite „** StackSet Details angeben**“ wie folgt vor:
1. Geben Sie einen StackSet Namen in das **StackSet Namensfeld** ein.
1. (Optional) Geben Sie im Beschreibungsbereich eine **StackSet Beschreibung** ein.
Überprüfen Sie auf der Seite „** StackSet Optionen konfigurieren**“ Ihre Auswahl und wählen Sie **Weiter**.
1. Gehen Sie auf der Seite **Bereitstellungsoptionen festlegen** wie folgt vor:
1. Wählen Sie für **Add stacks to stack set** (Stacks zum Stack-Set hinzufügen) **Deploy new stacks** (Neue Stacks bereitstellen).
1. Für den Abschnitt **Assoziierte Organisationseinheiten** gehen Sie wie folgt vor:
1. Wählen Sie **Mit Organisation verknüpfen** um die Stamm-OU zu verwenden.
1. Wählen Sie **Mit Organisationseinheiten verknüpfen (OUs)**, um die übergeordnete Organisationseinheit IDs für die zu importierenden Stapel einzugeben. Wenn zum Beispiel `Stack 1` und `Stack 2` unter `OU1` und `Stack 3` unter `OU2` liegen, geben Sie `OU1` und `OU2` ein.
1. Überprüfen Sie Ihre Auswahl für **Specify regions** (Regionen angeben) und **Deployment options** (Bereitstellungs-Optionen).
Übernehmen Sie Ihre Einstellungen und wählen Sie **Next** (Weiter).
1. Überprüfen Sie Ihre Einstellungen auf der Seite **Review** (Überprüfen) und wählen Sie **Submit** (Absenden).
## Importieren Sie einen vom Service verwalteten Stack in einen vorhandenen Stack StackSet (Konsole)
Wählen Sie Ihren StackSet und identifizieren Sie den Stack, den Sie importieren möchten.
**Um einen Stapel in einen vorhandenen zu importieren StackSet**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. **StackSets**.
1. **Wählen StackSet Sie den Stack aus, in den Sie einen Stack importieren möchten, und wählen Sie dann **Stapel hinzufügen aus dem Drop-down-Menü StackSet** Aktionen aus.**
1. Gehen Sie auf der Seite **Bereitstellungsoptionen festlegen** wie folgt vor:
1. Wählen Sie für **Stapel zum Stapelsatz hinzufügen**die Option **Stapel zum Stapelsatz importieren**.
1. Gehen Sie unter **Stapel zum Importieren**wie folgt vor
1. Geben Sie für **Stack-ID** Ihre Stack-ID ein.
1. Für **Stack URL**geben Sie die Amazon S3 URL ein.
1. Führen Sie unter **Assoziierte Organisationseinheiten**folgende Schritte aus:
1. Wählen Sie **Mit Organisation verknüpfen** um die Stamm-OU zu verwenden.
1. Wählen Sie **Mit Organisationseinheiten verknüpfen (OUs)**, um die übergeordnete Organisationseinheit IDs für die zu importierenden Stapel einzugeben. Wenn zum Beispiel `Stack 1` und `Stack 2` unter `OU1` und `Stack 3` unter `OU2` liegen, geben Sie `OU1` und `OU2` ein.
Übernehmen Sie Ihre Einstellungen und wählen Sie **Next** (Weiter).
1. Überprüfen Sie die Seite **Specify overrides** (Überschreibungen angeben) und wählen Sie **Next** (Weiter).
1. Bestätigen und überprüfen Sie die Seite **Review** (Überprüfung) und wählen Sie **Submit** (Absenden).
## Einen vom Service verwalteten Stack in einen StackSet () importieren AWS CLI
Sobald StackSet ein erstellt wurde, können Sie Ihre Stacks importieren, indem Sie die Stack-IDs der importierten Stacks übergeben. Sie können auch die Liste der OU-IDs übergeben, der Sie sie zuordnen möchten.
CloudFormation importiert vom Benutzer bereitgestellte Stacks innerhalb dieser OUs und verwendet diese OUs als Bereitstellungsziele für. StackSet Der in IDs der Eingabe angegebene Stapel wird der intern eingegebenen Organisationseinheit in der Organisationseinheiten-ID-Liste zugeordnet. Wenn ein Stapel nicht zu einer vorhandenen OU-ID in der Eingabeliste gehört, AWS CLI wird der `StackNotFoundException` Fehler zurückgegeben.
Der `import-stacks-to-stack-set`-Vorgang erstellt Stack-Instances für die Stacks in der OU-ID-Eingabe. In den folgenden AWS CLI Beispielen wird die `import-stacks-to-stack-set` Operation verwendet, um einen Stapel in einen zu importieren StackSet.
+ Um den `import-stacks-to-stack-sets`-Vorgang zu verwenden, geben Sie die `stack-ids` oder `stack-ids-url` an, die Sie in Ihr Stack-Set importieren möchten.
```
aws cloudformation import-stacks-to-stack-set \
--stack-set-name ServiceMangedStackSet \
--stack-ids "arn:123456789012:us-east-1:Stack1" \
--organizational-unit-ids ou-examplerootid111-exampleouid111
```
```
aws cloudformation import-stacks-to-stack-set \
--stack-set-name ServiceMangedStackSet \
--stack-ids-url https://amzn-s3-demo-bucket.s3.us-west-2.amazonaws.com/file-name.json \
--organizational-unit-ids ou-examplerootid111-exampleouid111
```
**Anmerkung**
Für den `import-stacks-to-stack-sets`-Vorgang müssen Sie mindestens eine Organisationseinheits-ID (OU-ID) angeben, damit der zu importierende Stack dieser bestimmten OU zugeordnet werden kann. Durch diesen Vorgang werden keine Stack-Instanzen für andere Mitgliedskonten in den zugehörigen Konten erstellt OUs. Verwenden Sie `create-stack-instances` oder, um Mitgliedskonten für die OUs verknüpften Konten zu aktualisieren`update-stack-instances`.
`create-stack-set`erstellt Stack-Instances für alle Konten unter der Vorlage OUs mit einer vom Benutzer bereitgestellten Vorlage, entweder aus direktem Upload oder aus Amazon S3. In den folgenden AWS CLI Beispielen wird die `create-stack-set` Operation verwendet, um einen Stack in einen neuen zu importieren StackSet.
+ Um die `create-stack-set` Operation zu verwenden, geben Sie Ihren StackSet Namen an und importieren Sie einen Stack in einen neu erstellten StackSet.
```
aws cloudformation create-stack-set \
--template-url https://amzn-s3-demo-bucket.s3.us-west-2.amazonaws.com/file-name.json \
--permission-model SERVICE_MANAGED \
--auto-deployment Enabled=true
```
# Stack-Importe rückgängig machen in CloudFormation StackSets
Wenn Sie unerwünschte Änderungen in Ihrer Stack-Instance vorgenommen haben, können Sie den Import der Stack-Instance rückgängig machen.
Wenn Sie einen Stack-Instance-Import rückgängig machen, CloudFormation wird die Stack-Instance aus dem gelöscht, die Ressourcen des Stacks bleiben StackSet jedoch erhalten.
Um einen Stapelimportvorgang rückgängig zu machen, gehen Sie wie folgt vor.
1. Geben Sie ein `DeletionPolicy` Attribut von `Retain` für jede Ressource an, die Sie behalten möchten, nachdem die Stack-Instance gelöscht wurde. Weitere Informationen finden Sie unter [Wiederherstellen eines Importvorgangs](resource-import-revert.md).
1. Löscht Stack-Instances von Ihrem. StackSet Weitere Informationen finden Sie unter [Stapel löschen von CloudFormation StackSets](stackinstances-delete.md).
1. Lösche deine StackSet. Weitere Informationen finden Sie unter [Löschen CloudFormation StackSets](stacksets-delete.md).
# Bewährte Methoden für die Verwendung CloudFormation StackSets
In diesem Abschnitt werden die bewährten Methoden zum Definieren einer StackSet Vorlage, zum Erstellen oder Hinzufügen von Stacks zu einer Vorlage oder zum Aktualisieren einer StackSet Vorlage beschrieben. StackSet
Falls Sie noch nicht damit vertraut sind CloudFormation, finden Sie im [CloudFormation bewährte Verfahren](best-practices.md) Thema weitere Empfehlungen, die Ihnen helfen können, diese CloudFormation effektiver und sicherer zu nutzen.
**Topics**
+ [Definieren der Vorlage](#w2aac15c41b9)
+ [Erstellen oder Hinzufügen von Stacks zum StackSet](#w2aac15c41c11)
+ [Aktualisierung von Stacks in einem StackSet](#w2aac15c41c13)
## Definieren der Vorlage
+ Definieren Sie die Vorlage, die in mehreren Konten in mehreren Regionen standardisiert werden soll.
+ Wenn Sie die Vorlage erstellen, achten Sie darauf, dass bei globalen Ressourcen (z. B. IAM-Rollen und Amazon S3-Buckets) keine Namenskonflikte auftreten, wenn Sie in mehreren Regionen im selben Konto erstellt werden.
+ A StackSet hat eine einzige Vorlage und einen einzigen Parametersatz. Derselbe Stapel wird in allen Konten erstellt, die mit a verknüpft sind StackSet. Wenn Sie Vorlagen schreiben, sollten Sie sie so abgestuft gestalten, dass eine ausgeglichene Kontrolle und Standardisierung möglich ist.
+ Wir empfehlen, Ihre Vorlage in einem Amazon S3-Bucket zu speichern.
## Erstellen oder Hinzufügen von Stacks zum StackSet
+ Stellen Sie sicher, dass das Hinzufügen von Stack-Instances zu Ihren ersten Instanzen StackSet funktioniert, bevor Sie eine größere Anzahl von Stack-Instances zu Ihrer StackSet hinzufügen.
+ Wählen Sie die Bereitstellungs-(Rollout-)Optionen, die für Ihren Anwendungsfall am besten geeignet sind.
+ Für eine konservativere Bereitstellung legen Sie **Maximum Concurrent Accounts** auf 1 und **Failure Tolerance** auf 0 fest. Setzen Sie die Region mit den geringsten Auswirkungen an die erste Stelle in der Liste **Region Order**. Beginnen Sie mit einer Region.
+ Für eine schnellere Bereitstellung können Sie die Werte **Maximum Concurrent Accounts** und **Failure Tolerance** nach Bedarf erhöhen.
+ Die laufenden Operationen StackSets hängen davon ab, wie viele Stack-Instances beteiligt sind, und können viel Zeit in Anspruch nehmen.
## Aktualisierung von Stacks in einem StackSet
+ Standardmäßig werden beim Aktualisieren von alle Stack-Instanzen StackSet aktualisiert. Wenn Sie jeweils 20 Konten in zwei Regionen haben, haben Sie 40 Stack-Instances, und alle werden aktualisiert, wenn Sie die aktualisieren StackSet.
StackSets Bei einer großen Anzahl von Stack-Instances empfehlen wir, dass Sie zum Testen der aktualisierten Version einer Vorlage die Stack-Instances in einigen Testkonten selektiv aktualisieren, bevor Sie alle Stack-Instances aktualisieren.
+ Um eine genauere Kontrolle über die Aktualisierung einzelner Stacks in Ihrem zu erhalten StackSet, planen Sie, mehrere zu erstellen. StackSets
+ Das Aktualisieren einer Datei StackSet , die eine große Anzahl von Stacks enthält, kann viel Zeit in Anspruch nehmen. In dieser Version ist jeweils nur ein Vorgang an einem zulässig. StackSet Planen Sie Ihre Updates so, dass Sie nicht daran gehindert werden, andere Operationen auf dem durchzuführen StackSet.
# CloudFormation StackSets Beispielvorlagen
Dieser Abschnitt enthält Links zu einigen CloudFormation Beispielvorlagen, die Ihnen bei der Verwendung CloudFormation StackSets in Ihrem Unternehmen helfen können. Die in diesem Abschnitt aufgeführten Vorlagen aktivieren [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) oder [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) und darin enthaltene Regeln.
**Wichtig**
Als bewährte Sicherheitsmethode beim Zulassen des AWS Config Zugriffs auf einen Amazon S3 S3-Bucket empfehlen wir dringend, den Zugriff in der Bucket-Richtlinie mit der `AWS:SourceAccount` Bedingung einzuschränken. Neue Vorlagen wurden aktualisiert und verfügen nun über `AWS:SourceAccount`. Wenn Ihre vorhandene Bucket-Richtlinie dieser bewährten Sicherheitsmethode nicht entspricht, sollten Sie die Bucket-Richtlinie unbedingt so bearbeiten, dass sie diesen Schutz enthält. Dadurch AWS Config wird sichergestellt, dass der Zugriff nur für die erwarteten Benutzer gewährt wird.
| Description | S3-Link |
| --- | --- |
| Aktivieren AWS CloudTrail | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudtrail.yml aktivieren](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSCloudtrail.yml) |
| Aktivieren AWS Config | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSConfig.yml aktivieren](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSConfig.yml) |
| AWS Config Mit zentraler Protokollierung aktivieren | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSConfigForOrganizations.yml aktivieren](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSConfigForOrganizations.yml) |
| Aktivieren Sie die Standardrichtlinien von Amazon Data Lifecycle Manager für eine AWS Organisation oder AWS für bestimmte Konten | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEncryptedVolumes.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEncryptedVolumes.yml) |
| Konfigurieren Sie eine AWS Config Regel, um festzustellen, ob sie CloudTrail aktiviert ist | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleCloudtrailEnabled.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleCloudtrailEnabled.yml) |
| Konfigurieren Sie eine AWS Config Regel, um festzustellen, ob Root-MFA aktiviert ist | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleRootAccountMFAEnabled.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleRootAccountMFAEnabled.yml) |
| Konfigurieren Sie eine AWS Config Regel, um festzustellen, ob sie angehängt EIPs sind | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEipAttached.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEipAttached.yml) |
| Konfigurieren Sie eine AWS Config Regel, um festzustellen, ob EBS-Volumes verschlüsselt sind | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEncryptedVolumes.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEncryptedVolumes.yml) |
# Problembehebung CloudFormation StackSets
Dieses Thema enthält einige häufig auftretende StackSets Probleme und Lösungsvorschläge für diese Probleme.
**Topics**
+ [Häufige Gründe für Störungen der Stack-Operationen](#common-reasons-for-stack-operation-failure)
+ [Wiederholen fehlgeschlagenen Operationen zum Erstellen und Aktualisieren von Stacks](#retrying-failed-stack-creation-or-update-operations)
+ [Löschen von Stack-Instances schlägt fehl](#stack-instance-delete-fails)
+ [Stack-Importvorgang schlägt fehl](#stack-import-fails)
+ [Anzahl der Stack-Instance-Fehler für StackSets Operationen](#stack-instance-failure-count-for-stackset-operations)
## Häufige Gründe für Störungen der Stack-Operationen
**Problem:** Eine Stack-Operation ist fehlgeschlagen und der Instance-Status ist `OUTDATED`.
**Ursache:** Es kann verschiedene häufige Ursachen für die Störung der Stack-Operation geben.
+ Nicht ausreichende Berechtigungen eines Zielkontos für die Erstellung von Ressourcen, die in Ihrer Vorlage angegeben sind.
+ Die CloudFormation Vorlage enthält möglicherweise Fehler. Überprüfen Sie die Vorlage CloudFormation und beheben Sie Fehler, bevor Sie versuchen, Ihre zu erstellen StackSet.
+ Die Vorlage könnte versuchen, globale Ressourcen zu erstellen, die eindeutig sein müssen, es aber nicht sind, wie z. B. S3-Buckets.
+ Eine angegebene Ziel-Kontonummer ist nicht vorhanden. Prüfen Sie die Ziel-Kontonummern, die Sie auf der Seite **Set deployment options** des Assistenten angegeben haben.
+ Das Administratorkonto hat keine Vertrauensbeziehung mit dem Zielkonto.
+ Die maximale Anzahl an einer Ressource, die in Ihrer Vorlage angegeben ist, ist in Ihrem Zielkonto bereits vorhanden. Sie können beispielsweise die Grenze der zulässigen IAM-Rollen in einem Zielkonto erreicht haben, aber die Vorlage erstellt weitere IAM-Rollen.
+ Sie haben die maximale Anzahl von Stapeln erreicht, die in a StackSet zulässig sind. Die maximale Anzahl von Stacks pro Stapel finden Sie StackSet unter. [CloudFormation Kontingente verstehen](cloudformation-limits.md)
**Lösung:** Weitere Informationen zu den Berechtigungen, die für Ziel- und Administratorkonten erforderlich sind, bevor Sie ein Konto erstellen können StackSets, finden Sie unter[Geben Sie allen Benutzern des Administratorkontos die Berechtigung, Stapel in allen Zielkonten zu verwalten](stacksets-prereqs-self-managed.md#stacksets-prereqs-accountsetup).
## Wiederholen fehlgeschlagenen Operationen zum Erstellen und Aktualisieren von Stacks
**Problem:** Eine Erstellen oder Aktualisieren eines Stacks ist fehlgeschlagen und der Instance-Status ist `OUTDATED`. Um zu beheben, warum die Erstellung oder Aktualisierung eines Stacks fehlgeschlagen ist, öffnen Sie die CloudFormation Konsole und sehen Sie sich die Ereignisse für den Stack an, die den Status `DELETED` (für fehlgeschlagene Erstellungsvorgänge) oder `FAILED` (für fehlgeschlagene Aktualisierungsvorgänge) haben. Durchsuchen Sie die Stack-Ereignissen und zeigen Sie die Spalte **Statusgrund** an. Der Wert vom **Statusgrund** erklärt, warum die Stack-Operation fehlgeschlagen ist.
Nachdem Sie die Ursache für den Fehler bei der Erstellung des Stacks behoben haben, können Sie das Erstellen der Stacks wiederholen. Dazu führen Sie die folgenden Schritte aus.
**Lösung:** Führen Sie die folgenden Schritte aus, um Ihre Stack-Operation zu wiederholen.
1. Wählen Sie in der Konsole den aus StackSet , der den Stack enthält, auf dem der Vorgang fehlgeschlagen ist.
1. Wählen Sie im Menü **Aktionen** die Option ** StackSetDetails bearbeiten** aus, um erneut zu versuchen, Stacks zu erstellen oder zu aktualisieren.
1. Verwenden Sie auf der Seite **Specify template (Vorlage angeben)** dieselbe CloudFormation-Vorlage und behalten Sie die Standardoption, **Current template (Aktuelle Vorlage)**, bei. Wenn Ihre Stack-Operation fehlgeschlagen ist, weil in der Vorlage Änderungen erforderlich waren, und Sie eine überarbeitete Vorlage hochladen wollen, wählen Sie stattdessen **Upload a template to Amazon S3** und wählen dann **Browse**, um Ihre aktualisierte Vorlage auszuwählen. Nachdem Sie Ihre geänderte Vorlage hochgeladen haben, wählen Sie **Next**.
1. Wenn Sie auf der Seite **Stack-Details angeben** keine Parameter ändern, die für Ihre Vorlage spezifisch sind, wählen Sie **Weiter**.
1. Ändern Sie auf der Seite **Set deployment options** die Standardwerte für **Maximum concurrent accounts** und gegebenenfalls für **Failure tolerance**. Weitere Informationen zu diesen Einstellungen finden Sie unter [StackSet Operationsoptionen](stacksets-concepts.md#stackset-ops-options).
1. Überprüfen Sie auf der Seite **Review** Ihre Auswahlen und markieren Sie das Kontrollkästchen, um die erforderlichen IAM-Kapazitäten zu bestätigen. Wählen Sie **Absenden** aus.
1. Wenn Ihr Stack nicht erfolgreich aktualisiert wurde, wiederholen Sie dieses Verfahren, nachdem Sie die Probleme bei der Stack-Erstellung gelöst haben.
## Löschen von Stack-Instances schlägt fehl
**Problem:** Das Löschen eines Stacks ist fehlgeschlagen.
**Ursache:** Das Löschen eines Stacks schlägt bei allen Stacks fehl, deren Beendigungsschutz aktiviert wurde.
**Lösung:** Ermitteln Sie, ob der Beendigungsschutz für den Stack aktiviert wurde. Wenn dies der Fall ist, deaktivieren Sie den Beendigungsschutz und wiederholen Sie dann das Löschen der Stack-Instance.
## Stack-Importvorgang schlägt fehl
**Problem: Bei** einem Stack-Importvorgang können vorhandene Stacks nicht in neue oder bestehende importiert werden. StackSets Die Stack-Instance befindet sich in einem `INOPERABLE` Status.
**Lösung:** Setzten Sie den Stack-Importvorgang zurück, indem Sie die folgenden Aufgaben ausführen.
1. Verwenden Sie die StackSets Option **Stacks löschen aus** und aktivieren Sie sie **RetainStacks**während der Konfiguration. Fahren Sie dann mit dem Löschen von Stack-Instances von Ihrem fort. StackSet Für weitere Informationen siehe [Stapel löschen von CloudFormation StackSets](stackinstances-delete.md).
1. Sie werden sehen, dass die Stack-Instances von aktualisiert StackSet werden, um die `INOPERABLE` Stack-Instance zu entfernen.
1. Korrigieren Sie die Stack-Instances entsprechend dem Importfehler und wiederholen Sie den Stack-Importvorgang.
## Anzahl der Stack-Instance-Fehler für StackSets Operationen
Die Anzahl der Stack-Instance-Fehler warnt Sie, wenn Stack-Instances nicht bereitgestellt oder aktualisiert werden können. Diese Stack-Instances konnten aus einem oder mehreren der folgenden Gründe nicht bereitgestellt werden:
+ Bestehende Ressource(n) mit ähnlicher Konfiguration
+ Fehlende Abhängigkeiten, wie z. B. AWS Identity and Access Management (IAM-) Rollen
+ Andere widersprüchliche Faktoren
Wenn Sie mit maximaler Gleichzeitigkeit bereitstellen möchten, ist die Anzahl der maximalen Gleichzeitigkeit höchstens um eins höher als die Fehlertoleranz. Wenn die Anzahl der Fehlertoleranzen beispielsweise 9 beträgt, darf die maximale Anzahl der Parallelitäten nicht mehr als 10 betragen. Dadurch wird der Vorgang auch dann `SUCCEEDED` zurückgeben, wenn einige Stack-Instances nicht aktualisiert werden können. Mit der neuen Anzahl der Stack-Instances können Sie feststellen, ob der Vorgang nur bedingt erfolgreich war, da die Fehlertoleranzzahl so eingestellt ist, dass alle Fehler zugelassen werden.
Sie können das AWS SDK oder verwenden AWS-Managementkonsole, AWS CLI um die Anzahl der Fehler abzurufen und Stack-Instances zu filtern, um zu ermitteln, welche Instanzen erneut bereitgestellt werden müssen.
### Verwenden der Konsole
**So zeigen Sie die Gesamtzahl der ausgefallenen Stack-Instances an:**
1. Öffnen Sie die [CloudFormation-Konsole](https://console.aws.amazon.com/cloudformation), und wählen Sie **StackSets** aus.
1. Wählen Sie Ihre StackSet aus und wählen Sie dann die Registerkarte **Operationen**.
1. Wählen Sie in der Spalte **Status** (Status) einen Status aus, um die Statusdetails anzuzeigen. Die Anzahl der ausgefallenen Stack-Instances für einen bestimmten Vorgang finden Sie in den Statusdetails.
**Um das Konto, die Region und den Status der Stack-Instances für den Vorgang einzusehen, gehen Sie wie folgt vor:**
1. Wählen Sie in den Statusdetails die Anzahl der ausgefallenen Stack-Instances aus. *Beispiel:* **Stack Instances: ``** (Stack-Instances).
1. Erweitern Sie den Seitenbereich, indem Sie den Header des Bereichs auswählen. Die Ergebnisse im Seitenbereich sind der Status der Stack-Instances nach Abschluss des ausgewählten Vorgangs.
**Um die aktuellen Stack-Instance-Details für einen Vorgang anzuzeigen:**
1. Wählen Sie die Registerkarte **Stack Instances** (Stack-Instances) aus.
1. Filtern Sie nach der **Last operation ID** (ID des letzten Vorgangs). Die Ergebnisse sind der aktuelle Status und die Statusgründe des letzten Vorgangs zur Änderung der Instance. Sie können diesen Filter in Kombination mit **AWS Konto**, **AWS Region**, **Detaillierter Status**und **Driftstatus** verwenden, um Ihre Suchergebnisse weiter zu verfeinern.
### Verwenden Sie den AWS CLI
Um die Anzahl der ausgefallenen Stack-Instances zu ermitteln, rufen Sie `describe-stack-set-operation` oder `list-stack-set-operations` auf und sehen Sie unter `StatusDetails` nach.
```
aws cloudformation describe-stack-set-operation --stack-set-name ss1 \
--operation-id 5550e62f-c822-4331-88fa-21c1d7bafc60
```
```
{
"StackSetOperation": {
"OperationId": "5550e62f-c822-4331-88fa-21c1d7bafc60",
"StackSetId": "ss1:9101ca57-49fc-4a61-a5a6-4c97b8adb08f",
"Action": "CREATE",
"Status": "SUCCEEDED",
"OperationPreferences": {
"RegionOrder": [],
"FailureToleranceCount": 10,
"MaxConcurrentCount": 10
},
"AdministrationRoleARN": "arn:aws:iam::123456789012:role/AWSCloudFormationStackSetAdministrationRole",
"ExecutionRoleName": "AWSCloudFormationStackSetExecutionRole",
"CreationTimestamp": "2022-10-26T17:18:53.947000+00:00",
"EndTimestamp": "2022-10-26T17:19:35.304000+00:00",
"StatusDetails": {
"FailedStackInstancesCount": 3
}
}
}
```
```
aws cloudformation list-stack-set-operations --stack-set-name ss1
```
```
{
"Summaries": [
{
"OperationId": "5550e62f-c822-4331-88fa-21c1d7bafc60",
"Action": "CREATE",
"Status": "SUCCEEDED",
"CreationTimestamp": "2022-10-26T17:18:53.947000+00:00",
"EndTimestamp": "2022-10-26T17:19:35.304000+00:00",
"StatusDetails": {
"FailedStackInstancesCount": 3
},
"OperationPreferences": {
"RegionOrder": [],
"FailureToleranceCount": 10,
"MaxConcurrentCount": 10
}
}
]
}
```
Um einen historischen Überblick über einen bestimmten Vorgang zu erhalten, verwenden Sie `list-stack-set-operation-results`, um den Status und den Statusgrund für jede Stack-Instance nach Abschluss des Vorgangs anzuzeigen. Im folgenden Beispiel finden `Status` und `StatusReason`:
```
aws cloudformation list-stack-set-operation-results --stack-set-name ss1 \
--operation-id 5550e62f-c822-4331-88fa-21c1d7bafc60 --filters Name=OPERATION_RESULT_STATUS,Values=FAILED
```
```
{
"Summaries": [
{
"Account": "123456789012",
"Region": "us-west-2",
"Status": "FAILED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"AccountGateResult": {
"Status": "SKIPPED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'."
},
"OrganizationalUnitId": ""
},
{
"Account": "123456789012",
"Region": "us-west-1",
"Status": "FAILED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"AccountGateResult": {
"Status": "SKIPPED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'."
},
"OrganizationalUnitId": ""
},
{
"Account": "123456789012",
"Region": "us-east-1",
"Status": "FAILED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"AccountGateResult": {
"Status": "SKIPPED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'."
},
"OrganizationalUnitId": ""
}
]
}
```
Verwenden Sie `list-stack-instances` mit den `DETAILED_STATUS`- und `LAST_OPERATION_ID`-Filtern, um eine Liste der Stack-Instances abzurufen, die bei dem letzten Vorgang, bei dem versucht wurde, die Stack-Instance bereitzustellen, fehlgeschlagen sind. Sehen Sie sich das `--filters`-Flag im Beispiel mit `DETAILED_STATUS` und `LAST_OPERATION_ID` an:
```
aws cloudformation list-stack-instances --stack-set-name ss1 \
--filters Name=DETAILED_STATUS,Values=FAILED Name=LAST_OPERATION_ID,Values=5550e62f-c822-4331-88fa-21c1d7bafc60
```
```
{
"Summaries": [
{
"StackSetId": "ss1:9101ca57-49fc-4a61-a5a6-4c97b8adb08f",
"Region": "us-east-1",
"Account": "123456789012",
"Status": "OUTDATED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"StackInstanceStatus": {
"DetailedStatus": "FAILED"
},
"OrganizationalUnitId": "",
"DriftStatus": "NOT_CHECKED",
"LastOperationId": "5550e62f-c822-4331-88fa-21c1d7bafc60"
},
{
"StackSetId": "ss1:9101ca57-49fc-4a61-a5a6-4c97b8adb08f",
"Region": "us-west-1",
"Account": "123456789012",
"Status": "OUTDATED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"StackInstanceStatus": {
"DetailedStatus": "FAILED"
},
"OrganizationalUnitId": "",
"DriftStatus": "NOT_CHECKED",
"LastOperationId": "5550e62f-c822-4331-88fa-21c1d7bafc60"
},
{
"StackSetId": "ss1:9101ca57-49fc-4a61-a5a6-4c97b8adb08f",
"Region": "us-west-2",
"Account": "123456789012",
"Status": "OUTDATED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"StackInstanceStatus": {
"DetailedStatus": "FAILED"
},
"OrganizationalUnitId": "",
"DriftStatus": "NOT_CHECKED",
"LastOperationId": "5550e62f-c822-4331-88fa-21c1d7bafc60"
}
]
}
```
Um nach der letzten Vorgangs-ID zum Ändern einer Stack-Instance zu suchen, rufen Sie mithilfe von `list-stack-instances` oder `describe-stack-instance` die `LastOperationId` ab:
```
aws cloudformation describe-stack-instance --stack-set-name ss1 \
--stack-instance-account 123456789012 --stack-instance-region us-east-2
```
```
{
"StackInstance": {
"StackSetId": "ss1:9101ca57-49fc-4a61-a5a6-4c97b8adb08f",
"Region": "us-west-2",
"Account": "123456789012",
"ParameterOverrides": [],
"Status": "OUTDATED",
"StackInstanceStatus": {
"DetailedStatus": "FAILED"
},
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"OrganizationalUnitId": "",
"DriftStatus": "NOT_CHECKED",
"LastOperationId": "5550e62f-c822-4331-88fa-21c1d7bafc60"
}
}
```