Habilitación de políticas predeterminadas de Data Lifecycle Manager en todas las cuentas y regiones - Amazon EBS

Habilitación de políticas predeterminadas de Data Lifecycle Manager en todas las cuentas y regiones

Con CloudFormation StackSets, puede activar las políticas predeterminadas de Amazon Data Lifecycle Manager en varias cuentas y regiones de AWS con una sola operación.

Puede utilizar conjuntos de pilas para habilitar políticas predeterminadas de una de las siguientes formas:

  • En toda una organización de AWS: garantiza que las políticas predeterminadas estén habilitadas y configuradas de forma coherente en toda la organización de AWS o en unidades organizativas específicas de una organización. Esto se hace mediante permisos gestionados por el servicio. CloudFormation StackSets crea los roles de IAM necesarios en su nombre.

  • En cuentas específicas de AWS: garantiza que las políticas predeterminadas estén habilitadas y configuradas de forma coherente en todas las cuentas de destino específicas. Esto requiere permisos autogestionados. Configure los roles de IAM necesarios para establecer la relación de confianza entre la cuenta de gestionador de conjuntos de pilas y las cuentas de destino.

Para obtener más información, consulte Modelos de permisos para conjuntos de pilas en la Guía del usuario de AWS CloudFormation.

Utilice los siguientes procedimientos para activar las políticas predeterminadas de Amazon Data Lifecycle Manager en toda la organización de AWS, en unidades organizativas específicas o en cuentas de destino específicas.

Requisitos previos

Realice una de las siguientes acciones según cómo vaya a habilitar las políticas predeterminadas:

Console
Cómo habilitar las políticas predeterminadas en toda una organización de AWS o en cuentas de destino específicas

  1. Abra la consola de CloudFormation en https://console.aws.amazon.com/cloudformation.

  2. En el panel de navegación, elija StackSets y, a continuación, seleccione Crear StackSet.

  3. En Permisos, realice una de las siguientes acciones según cómo vaya a habilitar las políticas predeterminadas:

    • (En toda la organización de AWS) Elija Permisos gestionados por el servicio.

    • (En cuentas de destino específicas) Elija Permisos de autoservicio. A continuación, en ARN del rol de gestionador de IAM, seleccione el rol de servicio de IAM que creó para la cuenta de gestionador y, en el nombre del rol de ejecución de IAM, introduzca el nombre del rol de servicio de IAM que creó en las cuentas de destino.

  4. En Preparar plantilla, elija Uso de una plantilla de ejemplo.

  5. En Ejemplos de plantilla, realice una de las siguientes acciones:

    • (Política predeterminada para instantáneas de EBS) Seleccione Crear políticas predeterminadas de Amazon Data Lifecycle Manager para las instantáneas de EBS.

    • (Política predeterminada para AMI basadas en EBS) Seleccione Crear políticas predeterminadas de Amazon Data Lifecycle Manager para las AMI basadas en EBS.

  6. Elija Siguiente.

  7. En Nombre de StackSet y Descripción de StackSet, introduzca un nombre descriptivo y una descripción breve.

  8. En la sección Parámetros, configure los ajustes de política predeterminados según sea necesario.

    nota

    Para cargas de trabajo críticas, recomendamos CreateInterval = 1 día y RetainInterval = 7 días.

  9. Elija Siguiente.

  10. (Opcional) En Etiquetas, especifique etiquetas que le ayuden a identificar el StackSet y los recursos de la pila.

  11. En Ejecución gestionada, seleccione Activa.

  12. Elija Siguiente.

  13. En Add stacks to stack set (Agregar pilas al conjunto de pilas), seleccione Deploy new stacks (Implementar pilas nuevas).

  14. Realice una de las siguientes acciones según cómo vaya a habilitar las políticas predeterminadas:

    • (En toda la organización de AWS) En Objetivos de implementación, elija una de las siguientes opciones:

      • Para realizar la implementación en toda la organización de AWS, elija Implementar en la organización.

      • Para realizar la implementación en unidades organizativas (OU) específicas, elija Implementar en unidades organizativas y, a continuación, en ID de OU, introduzca el ID de la OU. Para agregar unidades organizativas adicionales, elija Agregar otra OU.

    • (En todas las cuentas de destino específicas) En Cuentas, realice una de las siguientes acciones:

      • Para realizar la implementación en cuentas de destino específicas, seleccione Implementar pilas en cuentas y, a continuación, en Números de cuenta, introduzca los ID de las cuentas de destino.

      • Para realizar la implementación en todas las cuentas de una unidad organizativa específica, seleccione Implementar pila en todas las cuentas de una unidad organizativa y, a continuación, en Números de organización, introduzca el ID de la unidad organizativa de destino.

  15. En Implementación automática, elija Activado.

  16. En Comportamiento deliminación de cuentas, seleccione Retener pilas.

  17. En Especificar regiones, seleccione regiones específicas donde habilitar las políticas predeterminadas o Agregar todas las regiones para habilitar las políticas predeterminadas en todas las regiones.

  18. Elija Siguiente.

  19. Revise los ajustes de los conjuntos de pilas, seleccione Confirmo que CloudFormation puede crear recursos de IAM y, a continuación, seleccione Enviar.

AWS CLI
Cómo habilitar las políticas predeterminadas en una organización de AWS

  1. Cree el conjunto de pilas. Utilice el comando create-stack-set.

    En --permission-model, especifique SERVICE_MANAGED.

    En --template-url, especifique una de las siguientes URL de plantilla:

    • (Políticas predeterminadas para las AMI basadas en EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (Políticas predeterminadas para las instantáneas de EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    En --parameters, especifique la configuración de las políticas predeterminadas. Para ver los parámetros compatibles, sus descripciones y los valores válidos, descargue la plantilla desde la URL y, a continuación, ábrala con un editor de texto.

    En --auto-deployment, especifique Enabled=true, RetainStacksOnAccountRemoval=true.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--permission-model SERVICE_MANAGED \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. Implemente el conjunto de pilas. Utilice el comando create-stack-instances.

    En --stack-set-name, especifique el nombre del conjunto de pilas que creó en el paso anterior.

    En --deployment-targets OrganizationalUnitIds, especifique el ID de la OU raíz para implementarla en toda la organización o los ID de OU para implementarlas en unidades organizativas específicas de la organización.

    En --regions, especifique las regiones de AWS en las que desea habilitar las políticas predeterminadas.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--deployment-targets OrganizationalUnitIds='["root_ou_id"]' | '["ou_id_1", "ou_id_2]' \
--regions '["region_1", "region_2"]'
Cómo habilitar las políticas predeterminadas en cuentas de destino específicas

  1. Cree el conjunto de pilas. Utilice el comando create-stack-set.

    En --template-url, especifique una de las siguientes URL de plantilla:

    • (Políticas predeterminadas para las AMI basadas en EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (Políticas predeterminadas para las instantáneas de EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    En --administration-role-arn, especifique el ARN del rol de servicio de IAM que creó anteriormente para el gestionador del conjunto de pilas.

    En --execution-role-name, especifique el nombre del rol de servicio de IAM que creó en las cuentas de destino.

    En --parameters, especifique la configuración de las políticas predeterminadas. Para ver los parámetros compatibles, sus descripciones y los valores válidos, descargue la plantilla desde la URL y, a continuación, ábrala con un editor de texto.

    En --auto-deployment, especifique Enabled=true, RetainStacksOnAccountRemoval=true.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--administration-role-arn administrator_role_arn \
--execution-role-name target_account_role \									
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. Implemente el conjunto de pilas. Utilice el comando create-stack-instances.

    En --stack-set-name, especifique el nombre del conjunto de pilas que creó en el paso anterior.

    En --accounts, especifique los ID de las cuentas de destino de AWS.

    En --regions, especifique las regiones de AWS en las que desea habilitar las políticas predeterminadas.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--accounts '["account_ID_1","account_ID_2"]' \
--regions '["region_1", "region_2"]'