Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS CloudFormation StackSets y AWS Organizations

CloudFormation StackSets permite crear, actualizar o eliminar pilas de varias Cuentas de AWS y Regiones de AWS en una sola operación. La integración de StackSets con AWS Organizations le permite crear conjuntos de pilas con permisos administrados por servicios, utilizando un rol vinculado a servicios que tenga el permiso relevante en cada cuenta de miembro. Esto permite implementar instancias de pila en todas las cuentas de miembro de su organización. No es preciso crear los roles AWS Identity and Access Management necesarios; StackSets crea el rol de IAM en cada cuenta de miembro en su nombre.

También puede elegir habilitar implementaciones automáticas en cuentas que se añaden a su organización en el futuro. Con la implementación automática habilitada, los roles y la implementación de las instancias del conjunto de pilas asociadas se agregan automáticamente a todas las cuentas que se agreguen en el futuro a esa unidad organizativa.

Con el acceso de confianza entre StackSets y Organizations habilitado, la cuenta de administración tiene permisos para crear y administrar conjuntos de pilas para su organización. La cuenta de administración puede registrar hasta cinco cuentas de miembros como administradores delegados. Con el acceso de confianza habilitado, los administradores delegados también tienen permisos para crear y administrar stack sets para su organización. Los conjuntos de pila con permisos administrados por servicios se crean en la cuenta de gestión, incluidos los conjuntos de pila creados por administradores delegados.

Para obtener más información sobre la integración de StackSets con Organizations, consulte Uso de AWS CloudFormation StackSets en la Guía del usuario de AWS CloudFormation.

Utilice la siguiente información para ayudarle a integrar StackSets AWS CloudFormation con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguientes Rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Este rol permite a StackSets CloudFormation realizar operaciones admitidas dentro de las cuentas de su organización.

Puede eliminar o modificar este rol solo si deshabilita el acceso de confianza entre StackSets CloudFormation y Organizations, o si elimina la cuenta de miembro de la organización.

Para crear el rol AWSServiceRoleForCloudFormationStackSetsOrgMember vinculado a un servicio para las cuentas de miembros en su organización, debe crear primero un conjunto de pilas en la cuenta de administración. Esto crea una instancia del conjunto de pilas, que luego crea el rol en las cuentas del miembro.

Para obtener más detalles acerca de cómo crear conjuntos de pilas, consulte Trabajo con AWS CloudFormation StackSets en la Guía del usuario de AWS CloudFormation.

Los principales de servicios utilizados por los roles vinculados a servicios

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados a servicios de Stacksets CloudFormation otorgan acceso a las siguientes entidades de servicio:

Habilitar el acceso de confianza con Stacksets CloudFormation

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Solo el administrador de la cuenta de administración de Organizations tiene permisos para habilitar el acceso de confianza con otro servicio AWS. Puede habilitar el acceso de confianza mediante la consola de CloudFormation o la consola de Organizations.

Solo puede habilitar el acceso de confianza mediante StackSets de AWS CloudFormation.

Para habilitar el acceso de confianza mediante la consola de Stacksets CloudFormation, consulte Habilitar el acceso de confianza con AWS Organizations en la Guía del usuario de AWS CloudFormation.

Deshabilitar el acceso de confianza con Stacksets CloudFormation

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

Solo el administrador de la cuenta de gestión de Organizations tiene permisos para deshabilitar el acceso de confianza con otro servicio de AWS. Solo puede deshabilitar el acceso de confianza mediante la consola de Organizations. Si deshabilita el acceso de confianza con Organizations mientras usa StackSets, se conservan todas las instancias de pila creadas previamente. Sin embargo, los stack sets implementados mediante los permisos del rol vinculado a servicios ya no pueden realizar implementaciones en cuentas administradas por Organizations.

Puede deshabilitar el acceso de confianza mediante la consola de CloudFormation o la consola de Organizations.

Puede deshabilitar el acceso de confianza mediante la consola AWS Organizations, la ejecución de una AWS CLI de Organizations, o llamando a una operación de API de Organizations en uno de los SDK de AWS.

Consola de administración de AWS

Para deshabilitar el acceso de confianza mediante la consola de Organizations

1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

2. En el panel de navegación, elija Servicios.

3. En la lista de servicios, elija StackSets de AWS CloudFormation.

4. Seleccione Deshabilitar el acceso de confianza.

5. En el cuadro de diálogo Deshabilitar el acceso de confianza para los StackSets de AWS CloudFormation, escriba deshabilitar para confirmarlo y, a continuación, seleccione Deshabilitar el acceso de confianza.

6. Si usted es el administrador solamente de AWS Organizations, dígale al administrador de StackSets de AWS CloudFormation que ahora puede deshabilitar ese servicio para que no funcione con AWS Organizations al utilizar la consola de servicio o las herramientas.

AWS CLI, AWS API

Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para deshabilitar el acceso del servicio de confianza:

• AWS CLI: disable-aws-service-access

  Ejecute el siguiente comando para deshabilitar StackSets de AWS CloudFormation como servicio de confianza de Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal stacksets.cloudformation.amazonaws.com

  Este comando no genera ninguna salida si se realiza correctamente.

• API de AWS: DisableAWSServiceAccess

Habilitación de una cuenta de administrador delegado de StackSets CloudFormation

Cuando designa una cuenta de miembro como administrador delegado para la organización, los usuarios y los roles de esa cuenta pueden realizar acciones administrativas para Stacksets CloudFormation que, de lo contrario, solo pueden realizar usuarios o roles en la cuenta de administración de la organización. Esto le ayuda a separar la gestión de la organización de la gestión de StackSets CloudFormation.

Para obtener instrucciones sobre cómo designar una cuenta de miembro como administrador delegado de StackSets CloudFormation en la organización, consulte Registro de un administrador delegado en la Guía del usuario de AWS CloudFormation.