Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gérez les piles entre les comptes et les régions avec StackSets
CloudFormation StackSets étend les fonctionnalités des piles en vous permettant de créer, de mettre à jour ou de supprimer des piles sur plusieurs comptes et en Régions AWS une seule opération. À l'aide d'un compte administrateur, vous définissez et gérez un CloudFormation modèle, et vous l'utilisez comme base pour provisionner des piles dans des comptes cibles sélectionnés sur des comptes spécifiques. Régions AWS
![\[A StackSet est un ensemble de ressources dans un modèle, déployé sur plusieurs comptes et régions.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/stack_set_conceptual_sv.png)
Cette section vous aide à commencer à utiliser StackSets et répond aux questions courantes sur la manière d'utiliser et de résoudre les problèmes liés à StackSet la création, aux mises à jour et à la suppression.
**Topics**
+ [StackSets concepts](stacksets-concepts.md)
+ [Conditions préalables à l'utilisation CloudFormation StackSets](stacksets-prereqs.md)
+ [Commencez à StackSets utiliser un exemple de modèle](stacksets-getting-started.md)
+ [Créez CloudFormation StackSets avec des autorisations autogérées](stacksets-getting-started-create-self-managed.md)
+ [Créez CloudFormation StackSets avec des autorisations gérées par le service](stacksets-orgs-associate-stackset-with-org.md)
+ [Activer ou désactiver les déploiements automatiques pour StackSets dans AWS Organizations](stacksets-orgs-manage-auto-deployment.md)
+ [Mettre à jour CloudFormation StackSets](stacksets-update.md)
+ [Ajoutez des piles à CloudFormation StackSets](stackinstances-create.md)
+ [Remplacez les valeurs des paramètres sur les piles de votre CloudFormation StackSet](stackinstances-override.md)
+ [Supprimer des piles de CloudFormation StackSets](stackinstances-delete.md)
+ [Supprimer CloudFormation StackSets](stacksets-delete.md)
+ [Empêcher les StackSets déploiements échoués à l'aide des portes de compte cible](stacksets-account-gating.md)
+ [Choisissez le mode de simultanéité pour CloudFormation StackSets](concurrency-mode.md)
+ [Exécution d'une détection de dérive sur CloudFormation StackSets](stacksets-drift.md)
+ [Importez des piles dans CloudFormation StackSets](stacksets-import.md)
+ [Bonnes pratiques d'utilisation CloudFormation StackSets](stacksets-bestpractices.md)
+ [CloudFormation StackSets exemples de modèles](stacksets-sampletemplates.md)
+ [Résolution des problèmes CloudFormation StackSets](stacksets-troubleshooting.md)
# StackSets concepts
La terminologie et les concepts suivants sont essentiels à votre compréhension et à votre utilisation de StackSets.
**Topics**
+ [Comptes d'administrateur et comptes de destination](#stacksets-concepts-accts)
+ [CloudFormation StackSets](#stacksets-concepts-stackset)
+ [Modèles d'autorisation pour StackSets](#stacksets-concepts-stackset-permission-models)
+ [Instances de piles](#stacksets-concepts-stackinstances)
+ [StackSet opérations](#stacksets-concepts-ops)
+ [StackSet options de fonctionnement](#stackset-ops-options)
+ [Étiquettes](#stackset-concepts-tags)
+ [StackSets codes de statut](#stackset-status-codes)
+ [Codes d’état de l’instance de pile](#stack-instance-status-codes)
## Comptes d'administrateur et comptes de destination
Le *compte administrateur* est celui Compte AWS dans lequel vous créez StackSets. Pour StackSets les autorisations gérées par le service, le compte administrateur est soit le compte de gestion de l'organisation, soit un compte d'administrateur délégué. Vous pouvez gérer un StackSet en vous connectant au compte AWS administrateur qui a créé le StackSet.
Un *compte cible* est le compte dans lequel vous créez, mettez à jour ou supprimez une ou plusieurs piles de votre StackSet compte. Avant de pouvoir utiliser un StackSet pour créer des piles dans un compte cible, établissez une relation de confiance entre l'administrateur et les comptes cibles.
## CloudFormation StackSets
A *StackSet*sert de conteneur pour plusieurs piles déployées dans Comptes AWS des régions spécifiées. Chaque pile est basée sur le même CloudFormation modèle, mais vous pouvez personnaliser des piles individuelles à l'aide de paramètres.
Après avoir défini un StackSet, vous pouvez créer, mettre à jour ou supprimer des piles dans les comptes cibles et Régions AWS vous pouvez le spécifier. Lorsque vous créez, mettez à jour ou supprimez des piles, vous pouvez également spécifier des préférences d’opération. Par exemple, incluez l’ordre des régions dans lesquelles vous souhaitez effectuer l’opération, le seuil de tolérance aux échecs avant l’arrêt des opérations de pile et le nombre de comptes effectuant des opérations de pile simultanément.
A StackSet est une ressource régionale. Si vous créez un StackSet dans un Région AWS, vous ne pouvez le voir ou le modifier que lorsque vous visualisez cette région.
## Modèles d'autorisation pour StackSets
Vous pouvez créer StackSets à l'aide d'autorisations *autogérées ou d'autorisations gérées par* le *service.*
Avec les autorisations *autogérées*, vous créez les rôles IAM nécessaires StackSets au déploiement sur plusieurs comptes et régions. Ces rôles sont nécessaires pour établir une relation de confiance entre le compte à StackSet partir duquel vous administrez et le compte sur lequel vous déployez des instances de stack. À l'aide de ce modèle d'autorisations, vous StackSets pouvez effectuer un déploiement sur tous ceux Compte AWS dans lesquels vous êtes autorisé à créer un rôle IAM.
Avec les autorisations *gérées par le service* vous pouvez déployer des instances de piles sur des comptes gérés par AWS Organizations. En utilisant ce modèle d'autorisations, vous n'avez pas à créer les rôles IAM nécessaires ; il StackSets crée les rôles IAM en votre nom. Avec ce modèle, vous pouvez également activer les déploiements automatiques sur les comptes qui seront ajoutés ultérieurement à votre organisation.
AWS Organizations s'intègre à votre environnement CloudFormation et vous aide à le gérer et à le gouverner de manière centralisée à mesure que vous adaptez et développez vos AWS ressources.
+ Compte de gestion : le compte que vous utilisez pour créer l'organisation. Pour plus d’informations, consultez [Terminologie et concepts pour AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
+ Administrateur délégué : un AWS service compatible peut enregistrer un compte de AWS membre dans l'organisation en tant qu'administrateur des comptes de l'organisation dans ce service. Pour plus d'informations, consultez [AWS les services que vous pouvez utiliser avec AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
Pour plus d'informations sur la création et la gestion à l' StackSets aide d'autorisations gérées par le service, consultez les rubriques suivantes :
+ [Activez un accès sécurisé pour StackSets avec AWS Organizations](stacksets-orgs-activate-trusted-access.md)
+ [Enregistrer un compte membre d’administrateur délégué](stacksets-orgs-delegated-admin.md)
+ [Créez CloudFormation StackSets avec des autorisations gérées par le service](stacksets-orgs-associate-stackset-with-org.md)
## Instances de piles
Une *instance de pile* est une référence à une pile d’un compte de destination dans une région. Une instance de pile peut exister sans pile. Par exemple, si la pile n’a pas pu être créée pour une raison ou une autre, l’instance de pile indique le motif de l’échec de la création de la pile. Une instance de pile n'est associée qu'à une seule instance StackSet.
La figure suivante montre les relations logiques entre StackSets les opérations de pile et les piles. Lorsque vous mettez à jour un StackSet, *toutes les* instances de stack associées sont mises à jour dans tous les comptes et régions.
![\[A StackSet peut créer, mettre à jour ou supprimer des instances de piles et des piles sur plusieurs comptes et régions.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/stack_sets_operations_stacks_sv.png)
## StackSet opérations
Vous pouvez effectuer les opérations suivantes sur StackSets.
Créez StackSet
La création d'un nouveau CloudFormation modèle StackSet implique de spécifier un modèle que vous souhaitez utiliser pour créer des piles, de spécifier les comptes cibles dans lesquels vous souhaitez créer des piles et d'identifier ceux Régions AWS dans lesquels vous souhaitez déployer des piles dans vos comptes cibles. A StackSet garantit le déploiement cohérent des mêmes ressources, avec les mêmes paramètres, vers tous les comptes cibles spécifiés dans les régions que vous choisissez.
Mettre à jour StackSet
Lorsque vous mettez à jour un StackSet, vous transférez les modifications vers les piles de votre StackSet. Vous pouvez mettre à jour un StackSet de l'une des manières suivantes. Les mises à jour de votre modèle concernent toujours toutes les piles ; vous ne pouvez pas mettre à jour le modèle de manière sélective pour certaines piles du StackSet, mais pas pour d'autres.
+ Modifiez les paramètres existants dans le modèle ou ajoutez des ressources, par exemple mettez à jour les valeurs des paramètres pour un service spécifique, ou ajoutez des instances Amazon EC2.
+ Remplacez le modèle par un autre modèle.
+ Ajoutez des piles dans les comptes de destination existants ou supplémentaires appartenant aux régions existantes ou aux régions supplémentaires.
Supprimer des piles
Lorsque vous supprimez des piles, vous supprimez chaque pile et toutes les ressources qui lui sont associées des comptes de destination dans les régions que vous spécifiez. Pour supprimer des piles, vous pouvez procéder de différentes façons.
+ Supprimer des piles dans certains comptes de destination tout en laissant les autres piles s’exécuter dans les autres comptes de destination.
+ Supprimer des piles dans certaines régions tout en laissant les piles s’exécuter dans les autres régions.
+ Supprimez les piles de votre ordinateur StackSet, mais enregistrez-les pour qu'elles continuent à fonctionner indépendamment de vous StackSet en choisissant l'option **Retain Stacks**. Vous pouvez ensuite gérer les piles conservées en dehors de votre entrée StackSet . CloudFormation
+ Supprimez toutes les piles de votre ordinateur StackSet, afin de préparer la suppression complète StackSet de la vôtre.
Supprimer StackSet
Vous ne pouvez supprimer le vôtre StackSet que s'il ne contient aucune instance de pile.
## StackSet options de fonctionnement
Les options décrites dans cette section permettent de contrôler le temps et le nombre d'échecs autorisés pour effectuer des StackSet opérations avec succès, et vous évitent de perdre des ressources de pile.
Nombre maximal de comptes en parallèle
Ce paramètre, disponible dans les flux de travail de création, de mise à jour et de suppression, permet de spécifier le nombre ou le pourcentage maximal de comptes cibles dans lequel une opération est effectuée simultanément. Un nombre ou pourcentage faible signifie qu'une opération est effectuée dans peu de comptes de destination à la fois. Les opérations sont effectuées dans une seule région à la fois, dans l'ordre spécifié dans la zone **Deployment order** (Ordre de déploiement). Par exemple, si vous déployez des piles dans 10 comptes cibles dans deux régions et que vous définissez **Maximum concurrent accounts** (Nombre maximal de comptes en parallèle) sur **50** et **By percentage** (Par pourcentage), le logiciel déploie les piles dans cinq comptes dans la première région, puis dans les cinq comptes suivants dans la première région, avant de passer à la région suivante et de lancer le déploiement dans les cinq premiers comptes cibles.
Lorsque vous choisissez **Par pourcentage**, si le pourcentage spécifié ne représente pas un nombre entier de vos comptes spécifiés, CloudFormation arrondissez au chiffre inférieur. Par exemple, si vous déployez des piles sur 10 comptes cibles et que vous définissez le **nombre maximal de comptes simultanés** à **25** et **par pourcentage**, CloudFormation arrondissez le nombre de 2,5 piles simultanément (ce qui ne serait pas possible) au déploiement de deux piles simultanément.
Notez que ce paramètre vous permet de spécifier la valeur *maximale* pour les opérations. Pour les déploiements importants, dans certaines circonstances, le nombre réel de comptes traités simultanément peut être inférieur en raison de la limitation de service.
Le **nombre maximal de comptes simultanés** peut dépendre de la valeur de la **tolérance aux pannes** en fonction de votre **mode de simultanéité**. Si votre **mode de simultanéité** est défini sur **Tolérance stricte aux pannes**, le **nombre maximal de comptes simultanés** peut être supérieur d’au plus un au paramètre de **tolérance aux pannes**.
Mode simultané
Ce paramètre, disponible dans les processus de création, de mise à jour et de suppression, vous permet de choisir le comportement du niveau de simultanéité pendant StackSet les opérations. Pour de plus amples informations, veuillez consulter [Choisissez le mode de simultanéité pour CloudFormation StackSets](concurrency-mode.md).
Tolérance aux pannes
Ce paramètre, disponible dans les flux de travail de création, de mise à jour et de suppression, vous permet de spécifier le nombre ou le pourcentage maximum d'échecs d'opérations de pile pouvant survenir, par région, au-delà duquel CloudFormation une opération est automatiquement interrompue. Si le nombre ou le pourcentage est faible, l’opération est effectuée sur peu de piles, mais vous pouvez commencer plus rapidement à résoudre les problèmes d’échec des opérations. Par exemple, si vous mettez à jour 10 piles dans 10 comptes de destination dans trois régions, et que vous définissez **Failure tolerance (Tolérance aux pannes)** sur **20** et **By percentage (Par pourcentage)**, cela signifie que l’opération peut se poursuivre si le nombre d’échecs de mises à jour de pile ne dépasse pas deux échecs. Si une troisième pile dans la même région échoue, CloudFormation arrête l'opération. Si une pile n’a pas pu être mise à jour dans la première région, l’opération de mise à jour continue dans cette région, puis passe à la région suivante. Si deux piles ne peuvent pas être mises à jour dans la deuxième région, la tolérance d'échec atteint 20 % ; si une troisième pile de la région échoue, CloudFormation arrête l'opération de mise à jour et ne passe pas aux régions suivantes.
Lorsque vous choisissez **Par pourcentage**, si le pourcentage spécifié ne représente pas un nombre entier de vos cumuls dans chaque région, CloudFormation arrondissez au chiffre inférieur. Par exemple, si vous déployez des piles sur 10 comptes cibles dans trois régions et que vous définissez la **tolérance d'échec** à **25** et que vous CloudFormation arrondissez **en pourcentage** d'une tolérance d'échec de 2,5 piles (ce qui ne serait pas possible) à une tolérance d'échec de deux piles par région.
Conserver les piles
Ce paramètre, disponible dans les flux de travail de suppression de piles, vous permet de maintenir les piles et leurs ressources en activité même après avoir supprimé des piles d'un. StackSet Lorsque vous conservez les piles, CloudFormation laisse intactes les piles placées dans des comptes et régions individuels. Les piles se dissocient de la StackSet, mais économisent la pile et ses ressources. Une fois qu'une opération de suppression de piles est terminée, vous gérez les piles conservées dans CloudFormation le compte cible (et non le compte administrateur) qui a créé les piles.
Region concurrency (Simultanéité de région)
Ce paramètre, disponible dans les processus de création, de mise à jour et de suppression, vous permet de choisir le mode de StackSets déploiement dans les régions.
*Séquentiel* — Déployez l' StackSets opération dans une région à la fois, comme indiqué dans la case de **commande Déploiement** par région, à condition que les échecs de déploiement d'une région ne dépassent pas la tolérance d'échec spécifiée. Le déploiement séquentiel est la sélection par défaut.
*Parallèle* — Déployez les StackSets opérations simultanément dans toutes les régions spécifiées, à condition que les échecs de déploiement d'une région ne dépassent pas la tolérance d'échec spécifiée.
## Étiquettes
Vous pouvez ajouter des balises lors des opérations de StackSet création et de mise à jour en spécifiant des paires clé/valeur. Les balises sont utiles pour trier et filtrer les StackSet ressources à des fins de facturation et de répartition des coûts. Pour plus d'informations sur l'utilisation des balises AWS, consultez la section [Organisation et suivi des coûts à l'aide des balises de répartition des AWS coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dans le *Guide de AWS Billing and Cost Management l'utilisateur*. Une fois que vous avez spécifié la paire clé-valeur, choisissez **\$1** pour enregistrer la balise. Vous pouvez supprimer des balises que vous n'utilisez plus en sélectionnant le **X** rouge à droite d'une balise.
Des balises que vous StackSets appliquez à toutes les piles et aux ressources créées par vos piles. Vous pouvez également ajouter des balises au niveau de la pile uniquement dans CloudFormation, mais il est possible que ces balises n'apparaissent pas dans. StackSets
Bien qu' StackSets il n'ajoute aucune balise définie par le système, vous ne devez pas commencer le nom des clés d'aucune balise par la chaîne. `aws:`
## StackSets codes de statut
CloudFormation StackSets génère des codes d'état pour les StackSet opérations.
Le tableau suivant décrit les codes d'état des StackSet opérations.
`RUNNING`
L'opération est actuellement en cours.
`SUCCEEDED`
L'opération s'est terminée sans dépasser la tolérance aux pannes autorisée pour l'opération.
`FAILED`
Le nombre de piles sur lesquelles l’opération a échoué a dépassé le seuil de tolérance aux pannes défini par l’utilisateur. La valeur de tolérance aux pannes que vous avez définie pour une opération est appliquée pour chaque région lors de la création et de la mise à jour des piles. Si le nombre de piles en échec dans une région dépasse la valeur de tolérance aux pannes, l’état de l’opération dans la région passe à `FAILED`. Le statut de l'opération dans son ensemble est également défini sur`FAILED`, et CloudFormation annule l'opération dans toutes les régions restantes.
`QUEUED`
[`Service-managed permissions`] Pour les déploiements automatiques nécessitant une séquence d'opérations, l'opération est mise en file d'attente afin d'être exécutée. Par exemple :
+ Le déplacement d'un compte d'une unité organisationnelle (`OU1`UO) à une autre déclenche un déploiement automatique. `OU2` StackSets exécute une opération de suppression pour supprimer l'instance de pile du `OU1` compte cible dans la région cible et met en file d'attente une opération de création pour ajouter une instance de pile au `OU2` compte cible dans la région cible.
+ L'ajout d'un compte `AccountA` à une unité d'organisation déclenche un déploiement automatique. StackSets exécute une opération de création pour ajouter une instance de pile `AccountA` dans la région cible. Si vous ajoutez un autre compte `AccountB` à l'unité d'organisation alors que cette opération de création est en cours d'exécution, une deuxième opération de création est mise en StackSets file d'attente. Lorsque la première opération de création est terminée, StackSets exécute la deuxième opération de création pour ajouter une instance de pile `AccountB` dans la région cible.
`STOPPING`
L'opération est en cours d'arrêt, à la demande de l'utilisateur.
`STOPPED`
L'opération s'est arrêtée à la demande de l'utilisateur.
## Codes d’état de l’instance de pile
CloudFormation StackSets génère des codes d'état pour les instances de pile.
Le tableau suivant décrit les codes d'état pour les instances de pile qu'ils contiennent StackSets.
`CURRENT`
La pile est à jour avec le StackSet.
`OUTDATED`
La pile n'est pas à jour avec le StackSet pour l'une des raisons suivantes.
+ Une opération [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackSet.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackSet.html) ou [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html) sur la pile associée a échoué.
+ La pile était impliquée dans une opération [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackSet.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackSet.html) ou [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html) qui a échoué ou a été arrêtée avant la création ou la mise à jour de la pile.
`INOPERABLE`
Une opération [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStackInstances.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStackInstances.html) a échoué et a laissé la pile dans un état instable. Les piles affichant cet état sont exclues des opérations [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html) suivantes. Vous devrez peut-être effectuer une opération [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStackInstances.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStackInstances.html), avec `RetainStacks` défini sur `true`, pour supprimer l’instance de pile, puis supprimer la pile manuellement.
`CANCELLED`
L'opération dans le compte et la région spécifiés a été annulée. Cela se produit parce qu'un utilisateur a arrêté l' StackSet opération ou parce que les StackSet opérations dépassent la tolérance d'échec.
`FAILED`
Échec de l'opération dans le compte et la région spécifiés. Si l' StackSet opération échoue sur un nombre suffisant de comptes au sein d'une région, la tolérance d'échec pour l' StackSet opération dans son ensemble risque d'être dépassée.
`FAILED_IMPORT`
L’importation de l’instance de pile dans le compte et la région spécifiés a échoué et a laissé la pile dans un état instable. Une fois les problèmes à l’origine de l’échec résolus, l’opération d’importation peut être réessayée. Si un nombre suffisant d' StackSet opérations échouent sur un nombre suffisant de comptes au sein d'une région, la tolérance d'échec pour l' StackSet opération dans son ensemble risque d'être dépassée.
`PENDING`
L'opération dans le compte et la région spécifiés n'a pas encore démarré.
`RUNNING`
L'opération dans le compte et la région spécifiés est en cours.
`SKIPPED_SUSPENDED_ACCOUNT`
L'opération dans le compte et la région spécifiés a été ignorée, car le compte était suspendu au moment de l'opération.
`SUCCEEDED`
L'opération dans le compte et la région spécifiés s'est déroulée avec succès.
# Conditions préalables à l'utilisation CloudFormation StackSets
StackSets étendez les fonctionnalités des piles afin de pouvoir créer, mettre à jour ou supprimer des piles sur plusieurs comptes et régions en une seule opération.
Comme vous pouvez StackSets effectuer des opérations de stack sur plusieurs comptes, avant de pouvoir créer le premier, StackSet vous devez disposer des autorisations nécessaires définies dans votre Comptes AWS.
Vous pouvez gérer à StackSets l'aide d'autorisations *autogérées ou gérées par* le *service.*
+ Pour *l'autogestion* StackSets, vous devez créer et gérer des rôles IAM dans chaque compte cible et. Région AWS Pour de plus amples informations, veuillez consulter [Accorder des autorisations autogérées](stacksets-prereqs-self-managed.md).
+ Pour les *services gérés* StackSets, vous n'avez pas besoin de créer et de gérer manuellement les rôles IAM dans chaque compte ; il AWS s'occupe de la création des rôles et des autorisations pour vous. Pour de plus amples informations, veuillez consulter [Activer l’accès approuvé](stacksets-orgs-activate-trusted-access.md).
**Topics**
+ [Préparez-vous à effectuer StackSet Régions AWS des opérations désactivées par défaut](stacksets-opt-in-regions.md)
+ [Accorder des autorisations autogérées](stacksets-prereqs-self-managed.md)
+ [Activez un accès sécurisé pour StackSets avec AWS Organizations](stacksets-orgs-activate-trusted-access.md)
# Préparez-vous à effectuer StackSet Régions AWS des opérations désactivées par défaut
Régions AWS introduites après le 20 mars 2019, telles que la région Asie-Pacifique (Hong Kong), sont désactivées par défaut. Vous devez activer ces régions pour votre ou vos comptes avant de pouvoir les utiliser. Pour plus d’informations, consultez la section [Activer ou désactiver Régions AWS dans votre compte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) dans le *Guide de référence Gestion de compte AWS *.
Pour créer un StackSet compte administrateur (si vous utilisez des autorisations autogérées) ou un StackSet compte de gestion de l'organisation (si vous utilisez des autorisations gérées par le service) dans une région désactivée par défaut, vous devez d'abord activer cette région pour le compte administrateur ou de gestion.
Pour CloudFormation créer ou mettre à jour correctement une instance de stack :
+ le compte cible doit résider dans une région actuellement activée pour ce compte cible.
+ Le StackSet compte administrateur ou le compte de gestion de l'organisation doit avoir la même région activée que le compte cible.
**Important**
Sachez que pendant les StackSet opérations, l'administrateur et les comptes cibles échangent des métadonnées concernant les comptes eux-mêmes, en plus des StackSet instances StackSet et des instances impliquées.
En outre, si vous désactivez une région qui contient un compte dans lequel résident StackSet des instances, vous êtes responsable de la suppression de ces instances ou ressources, si vous le souhaitez. En outre, sachez que les métadonnées concernant le compte cible dans la région désactivée seront conservées dans le compte administrateur.
# Accorder des autorisations autogérées
Cette rubrique fournit des instructions sur la façon de créer les rôles de service IAM nécessaires StackSets au déploiement sur plusieurs comptes et Régions AWS avec des autorisations *autogérées*. Ces rôles sont nécessaires pour établir une relation de confiance entre le compte à StackSet partir duquel vous administrez et le compte sur lequel vous déployez des instances de stack. À l'aide de ce modèle d'autorisations, vous StackSets pouvez effectuer un déploiement sur tous ceux Compte AWS dans lesquels vous êtes autorisé à créer un rôle IAM.
Pour utiliser des autorisations *gérées par le service*, consultez [Activer l’accès approuvé](stacksets-orgs-activate-trusted-access.md) à la place.
**Topics**
+ [Présentation des autorisations autogérées](#prereqs-self-managed-permissions)
+ [Autorisation accordée à tous les utilisateurs du compte administrateur de gérer les piles dans tous les comptes cibles](#stacksets-prereqs-accountsetup)
+ [Configurer des options d'autorisation avancées pour les StackSet opérations](#stacksets-prereqs-advanced-perms)
+ [Configurez des clés globales pour atténuer les problèmes de député confus](#confused-deputy-mitigation)
## Présentation des autorisations autogérées
Avant de créer un StackSet avec des autorisations autogérées, vous devez avoir créé des rôles de service IAM dans chaque compte.
Les étapes de base sont les suivantes :
1. Déterminez quel Compte AWS est le *compte administrateur*.
StackSets sont créés dans ce compte administrateur. Un *compte cible* est le compte dans lequel vous créez des piles individuelles appartenant à un StackSet.
1. Déterminez comment vous souhaitez structurer les autorisations pour StackSet.
La configuration d'autorisations la plus simple (et la plus permissive) consiste à donner à *tous les* utilisateurs et groupes du compte administrateur la possibilité de créer et de mettre à jour *tous les* droits StackSets gérés via ce compte. Si vous avez besoin d'un contrôle plus fin, vous pouvez configurer des autorisations pour spécifier :
+ Quels utilisateurs et groupes peuvent effectuer StackSet des opérations sur quels comptes cibles.
+ Quelles ressources les utilisateurs et les groupes peuvent inclure dans leurs StackSets.
+ Quelles StackSet opérations peuvent être effectuées par des utilisateurs et des groupes spécifiques.
1. Créez les rôles de service IAM nécessaires dans vos comptes d'administrateur et de destination pour définir les autorisations souhaitées.
Plus précisément, les deux rôles requis sont les suivants :
+ **AWSCloudFormationStackSetAdministrationRole**— Ce rôle est déployé sur le compte administrateur.
+ **AWSCloudFormationStackSetExecutionRole**— Ce rôle est déployé sur tous les comptes sur lesquels vous créez des instances de stack.
## Autorisation accordée à tous les utilisateurs du compte administrateur de gérer les piles dans tous les comptes cibles
Cette section explique comment configurer des autorisations pour permettre à tous les utilisateurs et groupes du compte administrateur d'effectuer StackSet des opérations sur tous les comptes cibles. Elle vous guide dans la création des rôles de service IAM requis dans vos comptes administrateur et cible. Toute personne disposant d’un compte administrateur peut alors créer, mettre à jour ou supprimer n’importe quelle pile dans n’importe quel compte cible.
En structurant les autorisations de cette manière, les utilisateurs ne transmettent aucun rôle d'administration lors de la création ou de la mise à jour d'un StackSet.
![\[Tout utilisateur du compte administrateur peut ensuite créer n'importe quel StackSet compte cible après avoir établi une relation de confiance.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/stacksets_perms_master_target.png)
------
#### [ Administrator account ]
Dans le compte administrateur, créez un rôle IAM nommé **AWSCloudFormationStackSetAdministrationRole**.
Vous pouvez le faire en créant une pile à partir du CloudFormation modèle disponible dans [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetAdministrationRole.yml.](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetAdministrationRole.yml)
**Example Exemple de politique d’autorisations**
Le rôle d’administration créé par le modèle précédent inclut la politique d’autorisation suivante.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole"
],
"Effect": "Allow"
}
]
}
```
**Example Exemple de politique d’approbation 1**
Le modèle précédent inclut également la politique d’approbation suivante qui accorde au service l’autorisation d’utiliser le rôle d’administration et les autorisations associées à ce rôle.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
**Example Exemple de politique d’approbation 2**
Pour déployer des instances de pile dans un compte cible situé dans une région désactivée par défaut, vous devez également inclure le principal régional pour cette région. Chaque région désactivée par défaut aura son propre principal de service régional.
L’exemple de politique d’approbation suivante accorde au service l’autorisation d’utiliser le rôle d’administration dans la région Asie-Pacifique (Hong Kong) (`ap-east-1`), une région désactivée par défaut.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"cloudformation.amazonaws.com",
"cloudformation.ap-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Pour de plus amples informations, veuillez consulter [Préparez-vous à effectuer StackSet Régions AWS des opérations désactivées par défaut](stacksets-opt-in-regions.md). Pour obtenir une liste des codes de région, consultez [Points de terminaison régionaux](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints) dans le *Guide Références générales AWS *.
------
#### [ Target accounts ]
Dans chaque compte cible, créez un rôle de service nommé **AWSCloudFormationStackSetExecutionRole**qui approuve le compte administrateur. Ce rôle doit avoir ce nom exact. Vous pouvez le faire en créant une pile à partir du CloudFormation modèle disponible dans [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetExecutionRole.yml.](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AWSCloudFormationStackSetExecutionRole.yml) Lorsque vous utilisez ce modèle, vous êtes invité à fournir l’ID de compte administrateur avec lequel votre compte cible doit avoir une relation d’approbation.
**Important**
Sachez que ce modèle accorde l'accès administrateur. Après avoir utilisé le modèle pour créer un rôle d'exécution de compte cible, vous devez étendre les autorisations de la déclaration de politique aux types de ressources que vous créez en utilisant StackSets.
Le rôle de service du compte cible nécessite des autorisations pour effectuer toutes les opérations spécifiées dans votre CloudFormation modèle. Par exemple, si votre modèle crée un compartiment S3, vous avez besoin d'autorisations pour créer des objets pour S3. Votre compte de destination doit toujours disposer des autorisations CloudFormation complètes, notamment des autorisations de création, de mise à jour, de suppression et de description des piles.
**Example Exemple de politique d’autorisations 1**
Le rôle créé par ce modèle active la politique suivante sur votre compte de destination.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
```
**Example Exemple de politique d’autorisations 2**
L'exemple suivant montre une déclaration de politique avec les autorisations *minimales* StackSets pour fonctionner. Pour créer des piles dans des comptes cibles qui utilisent des ressources provenant de services autres que CloudFormation, vous devez ajouter ces actions de service et ces ressources à la déclaration de **AWSCloudFormationStackSetExecutionRole**politique de chaque compte cible.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
**Example Exemple de politique d’approbation**
La relation d'approbation suivante est créée par le modèle. L'identifiant du compte administrateur est affiché sous la forme*admin\$1account\$1id*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
Vous pouvez configurer la relation d'approbation du rôle d'exécution d'un compte cible existant pour approuver un rôle spécifique dans le compte administrateur. Si vous supprimez le rôle dans le compte administrateur et que vous en créez un nouveau pour le remplacer, vous devez configurer les relations de confiance de votre compte cible avec le nouveau rôle du compte administrateur, représenté *admin\$1account\$1id* dans l'exemple précédent.
------
## Configurer des options d'autorisation avancées pour les StackSet opérations
Si vous avez besoin d'un contrôle plus précis sur StackSets ce que les utilisateurs et les groupes créent par le biais d'un seul compte administrateur, vous pouvez utiliser les rôles IAM pour spécifier :
+ Quels utilisateurs et groupes peuvent effectuer StackSet des opérations sur quels comptes cibles.
+ Quelles ressources les utilisateurs et les groupes peuvent inclure dans leurs StackSets.
+ Quelles StackSet opérations peuvent être effectuées par des utilisateurs et des groupes spécifiques.
### Contrôlez quels utilisateurs peuvent effectuer StackSet des opérations sur des comptes cibles spécifiques
Utilisez des rôles d'administration personnalisés pour contrôler quels utilisateurs et groupes peuvent effectuer StackSet des opérations sur quels comptes cibles. Vous souhaiterez peut-être contrôler quels utilisateurs du compte administrateur peuvent effectuer des StackSet opérations sur quels comptes cibles. Pour ce faire, vous créez une relation de confiance entre chaque compte cible et un rôle d'administration personnalisé spécifique, plutôt que de créer le rôle de **AWSCloudFormationStackSetAdministrationRole**service dans le compte administrateur lui-même. Vous activez ensuite des utilisateurs et des groupes spécifiques pour qu'ils utilisent le rôle d'administration personnalisé lors de l'exécution d' StackSet opérations sur un compte cible spécifique.
Par exemple, vous pouvez créer un rôle A et un rôle B dans votre compte d'administrateur. Vous pouvez ensuite accorder au rôle A l'autorisation d'accéder au compte de destination 1 via le compte 8. Vous pouvez enfin accorder au rôle B l'autorisation d'accéder au compte de destination 9 via le compte 16.
![\[Une relation de confiance entre un rôle d'administration personnalisé et des comptes cibles qui permet aux utilisateurs de créer un StackSet.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/stacksets_perms_admin_target.png)
La configuration des autorisations nécessaires implique de définir un rôle d'administration personnalisé, de créer un rôle de service pour le compte cible et d'accorder aux utilisateurs l'autorisation de transmettre le rôle d'administration personnalisé lors de l'exécution StackSet des opérations.
En général, voici comment cela fonctionne une fois que vous avez les autorisations nécessaires en place : lors de la création d'un StackSet, l'utilisateur doit spécifier un rôle d'administration personnalisé. L'utilisateur doit disposer de l'autorisation nécessaire pour transmettre le rôle à CloudFormation. En outre, le rôle d'administration personnalisé doit avoir une relation de confiance avec les comptes cibles spécifiés pour le StackSet. CloudFormation crée le rôle d'administration personnalisé StackSet et y associe le rôle d'administration personnalisé. Lors de la mise à jour d'un StackSet, l'utilisateur doit spécifier explicitement un rôle d'administration personnalisé, même s'il s'agit du même rôle d'administration personnalisé que celui utilisé StackSet précédemment. CloudFormationutilise ce rôle pour mettre à jour la pile, sous réserve des exigences ci-dessus.
------
#### [ Administrator account ]
**Example Exemple de politique d’autorisations**
Pour chacun StackSet, créez un rôle d'administration personnalisé avec les autorisations nécessaires pour assumer le rôle d'exécution du compte cible.
Le nom du rôle d’exécution du compte cible doit être le même dans tous les comptes cibles. Si le nom du rôle est **AWSCloudFormationStackSetExecutionRole**, l' StackSets utilise automatiquement lors de la création d'un StackSet. Si vous spécifiez un nom de rôle personnalisé, les utilisateurs doivent fournir le nom du rôle d'exécution lors de la création d'un StackSet.
Créez un [rôle de service IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) avec un nom personnalisé et la politique d’autorisations suivante. Dans les exemples ci-dessous, *custom\$1execution\$1role* fait référence au rôle d'exécution dans les comptes cibles.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/custom_execution_role"
],
"Effect": "Allow"
}
]
}
```
Pour spécifier plusieurs comptes dans une seule instruction, séparez-les par des virgules.
```
"Resource": [
"arn:aws:iam::target_account_id_1:role/custom_execution_role",
"arn:aws:iam::target_account_id_2:role/custom_execution_role"
]
```
Vous pouvez spécifier tous les comptes cibles en utilisant un caractère générique (\$1) à la place d’un ID de compte.
```
"Resource": [
"arn:aws:iam::*:role/custom_execution_role"
]
```
**Example Exemple de politique d’approbation 1**
Vous devez fournir une politique d’approbation pour le rôle de service afin de définir quels principaux IAM peuvent assumer le rôle.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
**Example Exemple de politique d’approbation 2**
Pour déployer des instances de pile dans un compte cible situé dans une région désactivée par défaut, vous devez également inclure le principal régional pour cette région. Chaque région désactivée par défaut aura son propre principal de service régional.
L’exemple de politique d’approbation suivante accorde au service l’autorisation d’utiliser le rôle d’administration dans la région Asie-Pacifique (Hong Kong) (`ap-east-1`), une région désactivée par défaut.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"cloudformation.amazonaws.com",
"cloudformation.ap-east-1.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
Pour de plus amples informations, veuillez consulter [Préparez-vous à effectuer StackSet Régions AWS des opérations désactivées par défaut](stacksets-opt-in-regions.md). Pour obtenir la liste des codes de région, consultez [Points de terminaison régionaux](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints) dans le *Guide de référence générale AWS *.
**Example Exemple de politique de transfert de rôle**
Vous avez également besoin d'une politique d'autorisations IAM pour vos utilisateurs IAM qui permet à l'utilisateur de transmettre le rôle d'administration personnalisé lors de l'exécution StackSet d'opérations. Pour plus d'informations, consultez la section [Octroi d'autorisations à un utilisateur pour transférer un rôle à un service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html).
Dans l'exemple ci-dessous, *customized\$1admin\$1role* fait référence au rôle d'administration que l'utilisateur doit transmettre.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/customized_admin_role"
}
]
}
```
------
#### [ Target accounts ]
Dans chaque compte cible, créez un rôle de service qui fait confiance au rôle d’administration personnalisé que vous voulez utiliser avec ce compte.
Le rôle de compte cible nécessite des autorisations pour effectuer toutes les opérations spécifiées dans votre CloudFormation modèle. Par exemple, si votre modèle crée un compartiment S3, vous devez disposer des autorisations permettant de créer des objets dans S3. Votre compte cible a toujours besoin d' CloudFormation autorisations complètes, notamment des autorisations pour créer, mettre à jour, supprimer et décrire des piles.
Le nom du rôle du compte cible doit être le même dans tous les comptes cibles. Si le nom du rôle est **AWSCloudFormationStackSetExecutionRole**, l' StackSets utilise automatiquement lors de la création d'un StackSet. Si vous spécifiez un nom de rôle personnalisé, les utilisateurs doivent fournir le nom du rôle d'exécution lors de la création d'un StackSet.
**Example Exemple de politique d’autorisations**
L'exemple suivant montre une déclaration de politique avec les autorisations *minimales* StackSets pour fonctionner. Pour créer des piles dans des comptes cibles qui utilisent des ressources provenant de services autres que CloudFormation, vous devez ajouter ces actions de service et ces ressources à la politique d'autorisation.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
}
]
}
```
**Example Exemple de politique d’approbation**
Vous devez fournir la politique d’approbation suivante lorsque vous créez le rôle pour définir la relation d’approbation.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/customized_admin_role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Contrôlez les ressources que les utilisateurs peuvent inclure dans des StackSets
Utilisez des rôles d'exécution personnalisés pour contrôler les ressources de pile que les utilisateurs et les groupes peuvent inclure dans leur pile StackSets. Par exemple, vous souhaiterez peut-être configurer un groupe qui ne peut inclure que des ressources liées à Amazon S3 dans ce qu'il crée, tandis StackSets qu'une autre équipe ne peut inclure que des ressources DynamoDB. Pour ce faire, vous créez une relation d’approbation entre le rôle d’administrateur personnalisé pour chaque groupe et un rôle d’exécution personnalisé pour chaque jeu de ressources. Le rôle d'exécution personnalisé définit les ressources de pile qui peuvent être incluses StackSets. Le rôle d'administration personnalisé réside dans le compte administrateur, tandis que le rôle d'exécution personnalisé réside dans chaque compte cible dans lequel vous souhaitez créer à StackSets l'aide des ressources définies. Vous activez ensuite des utilisateurs et des groupes spécifiques pour qu'ils utilisent le rôle d'administration personnalisé lors de l'exécution StackSets des opérations.
Par exemple, vous pouvez créer des rôles d’administration personnalisés A, B et C dans le compte administrateur. Les utilisateurs et les groupes autorisés à utiliser le rôle A peuvent créer StackSets des ressources contenant les ressources de pile spécifiquement répertoriées dans le rôle d'exécution personnalisé X, mais pas celles des rôles Y ou Z, ou les ressources non incluses dans un rôle d'exécution.
![\[Une relation de confiance entre un rôle d'administrateur personnalisé et un rôle d'exécution personnalisé dans les comptes cibles, permettant aux utilisateurs de créer un StackSet.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/stacksets_perms_admin_execution.png)
Lors de la mise à jour d'un StackSet, l'utilisateur doit spécifier explicitement un rôle d'administration personnalisé, même s'il s'agit du même rôle d'administration personnalisé que celui utilisé StackSet précédemment. CloudFormation effectue la mise à jour en utilisant le rôle d'administration personnalisé spécifié, à condition que l'utilisateur soit autorisé à effectuer des opérations sur ce rôle StackSet.
De même, l'utilisateur peut également spécifier un rôle d'exécution personnalisé. S'ils spécifient un rôle d'exécution personnalisé, CloudFormation utilise ce rôle pour mettre à jour la pile, sous réserve des exigences ci-dessus. Si l'utilisateur ne spécifie pas de rôle d'exécution personnalisé, CloudFormation effectue la mise à jour en utilisant le rôle d'exécution personnalisé précédemment associé au StackSet, à condition que l'utilisateur soit autorisé à effectuer des opérations sur ce rôle StackSet.
------
#### [ Administrator account ]
Créez un rôle d’administration personnalisé dans votre compte administrateur, comme indiqué dans [Contrôlez quels utilisateurs peuvent effectuer StackSet des opérations sur des comptes cibles spécifiques](#stacksets-prereqs-multiadmin). Incluez une relation d’approbation entre le rôle d’administration personnalisé et les rôles d’exécution personnalisés que vous voulez utiliser.
**Example Exemple de politique d’autorisations**
L'exemple suivant est une politique d'autorisation à la fois pour **AWSCloudFormationStackSetExecutionRole**celle définie pour le compte cible, en plus d'un rôle d'exécution personnalisé.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1487980684000",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole",
"arn:aws:iam::*:role/custom_execution_role"
]
}
]
}
```
------
#### [ Target accounts ]
Dans les comptes cibles dans lesquels vous souhaitez créer votre StackSets, créez un rôle d'exécution personnalisé qui accorde des autorisations aux services et aux ressources que vous souhaitez que les utilisateurs et les groupes puissent inclure dans StackSets.
**Example Exemple de politique d’autorisations**
L'exemple suivant fournit les autorisations minimales pour StackSets, ainsi que l'autorisation de créer des tables Amazon DynamoDB.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"dynamoDb:createTable"
],
"Resource": "*"
}
]
}
```
**Example Exemple de politique d’approbation**
Vous devez fournir la politique d’approbation suivante lorsque vous créez le rôle pour définir la relation d’approbation.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/customized_admin_role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Configurer des autorisations pour des StackSet opérations spécifiques
En outre, vous pouvez définir des autorisations pour lesquelles les utilisateurs et les groupes peuvent effectuer des StackSet opérations spécifiques, telles que la création, la mise à jour, la suppression StackSets ou le cumul d'instances. Pour plus d'informations, consultez la rubrique [Actions, ressources et clés de condition pour CloudFormation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html) dans la section *Référence de l'autorisation de service*.
## Configurez des clés globales pour atténuer les problèmes de député confus
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé pour utiliser ses autorisations afin d'agir sur les ressources d'un autre client de sorte qu'il n'y aurait pas accès autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés de contexte de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations qui CloudFormation StackSets accordent un autre service à la ressource. Si vous utilisez les deux clés de contexte de condition globale, la valeur `aws:SourceAccount` et le compte de la valeur `aws:SourceArn` doit utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de stratégie.
Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale `aws:SourceArn` avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l’ARN. Par exemple, `arn:aws:cloudformation::123456789012:*`. Dans la mesure du possible, utilisez `aws:SourceArn`, car il est plus spécifique. Utilisez `aws:SourceAccount` uniquement lorsque vous ne pouvez pas déterminer l'ARN ou le modèle d'ARN correct.
Lorsque StackSets assume le rôle d'**administration** dans votre compte d'**administrateur**, StackSets renseigne votre ID de compte **administrateur** et le nom de ressource StackSets Amazon (ARN). Vous pouvez donc définir des conditions pour les [clés globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) `aws:SourceAccount` et `aws:SourceArn` dans les relations de confiance afin d'éviter les [problèmes de député confus](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). L'exemple suivant montre comment vous pouvez utiliser les touches de contexte de condition `aws:SourceAccount` globale `aws:SourceArn` et globale StackSets pour éviter le problème de confusion des adjoints.
------
#### [ Administrator account ]
**Example Clés globales pour `aws:SourceAccount` et `aws:SourceArn`**
Lors de l'utilisation StackSets, définissez les clés globales `aws:SourceAccount` et `aws:SourceArn` définissez votre politique de **AWSCloudFormationStackSetAdministrationRole**confiance pour éviter tout problème de confusion avec les adjoints.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cloudformation:*:111122223333:stackset/*"
}
}
}
]
}
```
**Example StackSets ARNs**
Spécifiez votre associé StackSets ARNs pour un contrôle plus précis.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": [
"arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-1",
"arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-2"
]
}
}
}
]
}
```
------
# Activez un accès sécurisé pour StackSets avec AWS Organizations
Cette rubrique fournit des instructions sur la façon d'activer l'accès sécurisé avec AWS Organizations, qui est requis pour le déploiement sur plusieurs comptes et StackSets à Régions AWS l'aide d'autorisations *gérées par le service*. Pour utiliser des autorisations *autogérées*, consultez [Accorder des autorisations autogérées](stacksets-prereqs-self-managed.md) à la place.
Avant de créer un StackSet avec des autorisations gérées par le service, vous devez d'abord effectuer les tâches suivantes :
+ [Activez toutes les fonctionnalités](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) dans AWS Organizations. Lorsque seules les fonctionnalités de facturation consolidée sont activées, vous ne pouvez pas créer un StackSet avec des autorisations gérées par le service.
+ Activez un accès sécurisé avec AWS Organizations. Cette action permet de CloudFormation créer un rôle lié à un service dans le compte de gestion. Une fois l'accès sécurisé activé, lorsque vous créez un StackSet avec des autorisations gérées par le service, vous CloudFormation créez à la fois le rôle lié au service nécessaire et un rôle de service nommé `stacksets-exec-*` dans les comptes cibles (membres).
Lorsque l'accès sécurisé est activé, le compte de gestion et les comptes d'administrateur délégué peuvent créer et gérer des services gérés StackSets pour leur organisation.
Pour activer l’accès approuvé, vous devez être un utilisateur administrateur dans le compte de gestion. Un *utilisateur administrateur* est un utilisateur disposant de toutes les autorisations pour votre Compte AWS. Pour plus d’informations, consultez [Créer un utilisateur administrateur](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html) dans le *Guide de référence Gestion de compte AWS *. Pour obtenir des recommandations sur la protection de la sécurité du compte de gestion, consultez [Bonnes pratiques pour le compte de gestion](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) dans le *Guide de l’utilisateur AWS Organizations *.
**Pour activer l’accès sécurisé**
1. Connectez-vous en AWS tant qu'administrateur du compte de gestion et ouvrez la CloudFormation console à l'adresse[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation).
1. Dans le volet de navigation, choisissez **StackSets**. Si l'accès sécurisé est désactivé, une bannière s'affiche pour vous inviter à activer l'accès sécurisé.
![\[Activez la bannière de l'accès sécurisé.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/console-stacksets-enable-trusted-access-from-stacksets-list-new.png)
1. Choisissez **Activer l'accès sécurisé**.
L'accès sécurisé est activé avec succès lorsque la bannière suivante s'affiche.
![\[Bannière indiquant que l'accès sécurisé est activé avec succès.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/console-stackset-trusted-access-enabled-banner-new.png)
**Note**
Activate Organizations Access est identique à Enable Organizations Access, et Deactivate Organizations Access est identique à Disable Organizations Access. Ces conditions ont été mises à jour en fonction des directives de commercialisation.
**Pour désactiver l'accès sécurisé**
Voir [CloudFormation StackSets et AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) dans le *guide de AWS Organizations l'utilisateur*.
Avant de pouvoir désactiver l'accès sécurisé avec AWS Organizations, vous devez désenregistrer tous les administrateurs délégués. Pour de plus amples informations, veuillez consulter [Enregistrer un administrateur délégué](stacksets-orgs-delegated-admin.md).
**Note**
Pour plus d’informations sur l’utilisation des opérations API à la place de la console pour activer ou désactiver l’accès approuvé, veuillez consulter :
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html)
## Rôles liés à un service
Le compte de gestion utilise le rôle **AWSServiceRoleForCloudFormationStackSetsOrgAdmin**lié au service. Vous ne pouvez modifier ou supprimer ce rôle que si l'accès sécurisé avec AWS Organizations est désactivé.
Chaque compte cible utilise un rôle **AWSServiceRoleForCloudFormationStackSetsOrgMember**lié à un service. Vous pouvez modifier ou supprimer ce rôle uniquement sous deux conditions : si l'accès sécurisé avec AWS Organizations est désactivé ou si le compte est supprimé de l'organisation ou de l'unité organisationnelle (UO) cible.
Pour plus d'informations, voir [CloudFormation StackSets et AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) dans le *guide de AWS Organizations l'utilisateur*.
# Enregistrer un compte membre d’administrateur délégué
Outre le compte de gestion de votre organisation, les comptes membres dotés d'autorisations d'administrateur déléguées peuvent être créés et gérés à l' StackSets aide d'autorisations gérées par les services pour l'organisation. StackSets avec des autorisations gérées par le service sont créées dans le compte de gestion, y compris StackSets par des administrateurs délégués. Pour être enregistré en tant qu'administrateur délégué de votre organisation, votre compte membre doit se trouver dans l'organisation. Pour plus d'informations sur l'adhésion à une organisation, voir [Inviter un Compte AWS homme à rejoindre votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
Jusqu'à cinq administrateurs délégués peuvent être enregistrés en même temps pour votre organisation. Les administrateurs délégués peuvent choisir de déployer sur tous les comptes de votre organisation ou sur des comptes spécifiques OUs. L'accès sécurisé AWS Organizations doit être activé avant que les administrateurs délégués puissent effectuer un déploiement sur des comptes gérés par des Organizations. Pour de plus amples informations, veuillez consulter [Activez un accès sécurisé pour StackSets avec AWS Organizations](stacksets-orgs-activate-trusted-access.md).
**Important**
Veuillez tenir compte des points suivants :
Les administrateurs délégués disposent des autorisations complètes pour un déploiement dans les comptes de votre organisation. Le compte de gestion ne peut pas limiter les autorisations d'administrateur déléguées pour effectuer des déploiements OUs ou des StackSet opérations spécifiques.
Veuillez vous assurer que vos administrateurs délégués disposent des autorisations `organizations:ListDelegatedAdministrators` afin d’éviter toute erreur potentielle.
Vous pouvez enregistrer des administrateurs délégués pour votre organisation dans les régions suivantes : USA Est (Ohio), USA Est (Virginie du Nord), USA Ouest (Californie du Nord), USA Ouest (Oregon), Asie-Pacifique (Mumbai), Asie-Pacifique (Séoul), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo), Canada (centre), Europe (Francfort), Europe (Irlande), Europe (Londres), Europe (Paris), Europe (Stockholm), Israël (Tel Aviv), Amérique du Sud (São Paulo), (US-Est) AWS GovCloud et (US-Ouest). AWS GovCloud
Vous pouvez enregistrer et désenregistrer les administrateurs délégués à l'aide de la [CloudFormation console [AWS CLI](https://aws.amazon.com/cli/)](https://console.aws.amazon.com/cloudformation/), ou. [AWS SDKs](https://aws.amazon.com/developer/tools/)
## Pour enregistrer un administrateur délégué (console)
1. Connectez-vous en AWS tant qu'administrateur du compte de gestion et ouvrez la CloudFormation console à l'adresse[https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/).
1. Dans le volet de navigation, choisissez **StackSets**.
1. Sous **Delegated administrators (Administrateurs délégués)**, choisissez **Register delegated administrator (Enregistrer l'administrateur délégué)**.
1. Dans la boîte de dialogue **Register delegated administrator (Enregistrer l'administrateur délégué)**, choisissez **Register delegated administrator (Enregistrer l'administrateur délégué)**.
Le message de réussite indique que le compte membre a bien été enregistré en tant qu'administrateur délégué.
## Pour annuler l'enregistrement d'un administrateur délégué (console)
1. Connectez-vous en AWS tant qu'administrateur du compte de gestion et ouvrez la CloudFormation console à l'adresse[https://console.aws.amazon.com/](https://console.aws.amazon.com/).
1. Dans le volet de navigation, choisissez **StackSets**.
1. Sous **Delegated administrators (Administrateurs délégués)**, sélectionnez le compte dont vous souhaitez annuler l'enregistrement, puis choisissez **Deregistrer (Annuler l'enregistrement)**.
Le message de réussite indique que l'enregistrement de ce compte membre en tant qu'administrateur délégué a bien été annulé.
Vous pouvez enregistrer à nouveau ce compte à tout moment.
## Pour enregistrer un administrateur délégué (AWS CLI)
1. Ouvrez le AWS CLI.
1. Exécutez la commande `register-delegated-administrator`.
```
$ aws organizations register-delegated-administrator \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com \
--account-id="memberAccountId"
```
1. Exécutez la commande `list-delegated-administrators` pour vérifier que le compte membre spécifié en tant qu'administrateur délégué est correctement enregistré.
```
$ aws organizations list-delegated-administrators \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com
```
## Pour annuler l'enregistrement d'un administrateur délégué ()AWS CLI
1. Ouvrez le AWS CLI.
1. Exécutez la commande `deregister-delegated-administrator`.
```
$ aws organizations deregister-delegated-administrator \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com \
--account-id="memberAccountId"
```
1. Exécutez la commande `list-delegated-administrators` pour vérifier que l'enregistrement du compte membre spécifié en tant qu'administrateur délégué est correctement annulé.
```
$ aws organizations list-delegated-administrators \
--service-principal=member.org.stacksets.cloudformation.amazonaws.com
```
Vous pouvez enregistrer à nouveau ce compte à tout moment.
# Commencez à StackSets utiliser un exemple de modèle
Ce didacticiel vous aidera à commencer à StackSets utiliser le AWS Management Console. Il vous guide dans la création d'un à StackSet l'aide d'un exemple de modèle. Vous apprendrez à déployer des stacks dans plusieurs régions, à surveiller les StackSet opérations et à consulter les résultats.
Dans ce didacticiel, vous allez créer un StackSet qui active AWS Config Compte AWS dans les régions USA Ouest (Oregon) (`us-west-2`) et USA Est (Virginie du Nord) (`us-east-1`). Vous pouvez ainsi créer, mettre à jour ou supprimer des piles sur plusieurs comptes et régions en une seule opération, ce qui en fait une solution idéale pour gérer l'infrastructure à grande échelle. StackSets Bien que ce didacticiel utilise un seul compte pour des raisons de simplicité, il démontre efficacement les fonctionnalités multirégionales de StackSets.
L'exemple de modèle est disponible dans le compartiment S3 suivant : [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/Enable AWSConfig .yml.](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSConfig.yml)
**Note**
StackSets est gratuit, mais les AWS ressources que vous créez avec ce logiciel vous seront facturées, comme AWS Config dans ce didacticiel. Pour en savoir plus, consultez [Pricing AWS Config](https://aws.amazon.com/config/pricing/) (Tarification).
**Topics**
+ [Conditions préalables](#stacksets-tutorial-prerequisites)
+ [Créez un StackSet avec un exemple de modèle à partir de la console](#stacksets-tutorial-create-stackset)
+ [StackSet Création de moniteurs](#stacksets-tutorial-monitor-creation)
+ [Afficher les StackSet résultats](#stacksets-tutorial-view-results)
+ [Mettez à jour votre StackSet](#stacksets-tutorial-update-stackset)
+ [Ajoutez des piles à votre StackSet](#stacksets-tutorial-add-stacks)
+ [Nettoyage](#stacksets-tutorial-clean-up)
+ [Étapes suivantes](#stacksets-tutorial-next-steps)
## Conditions préalables
Avant de commencer ce didacticiel, assurez-vous d’avoir rempli les conditions préalables suivantes :
+ Vous devez avoir configuré les rôles IAM requis pour les autorisations autogérées. Pour créer StackSet et déployer des stacks au sein d'un seul compte, vous devez disposer des rôles suivants dans votre compte :
+ `AWSCloudFormationStackSetAdministrationRole`
+ `AWSCloudFormationStackSetExecutionRole`
Pour obtenir des instructions détaillées sur la configuration de ces rôles, consultez [Accorder des autorisations autogérées](stacksets-prereqs-self-managed.md).
## Créez un StackSet avec un exemple de modèle à partir de la console
**Pour créer un StackSet qui permet AWS Config**
1. Ouvrez la [CloudFormation console](https://console.aws.amazon.com/cloudformation/).
1. Dans la barre de navigation en haut de l'écran, choisissez Région AWS celui à StackSet partir duquel vous souhaitez gérer.
Vous pouvez choisir n'importe quelle région qui prend en charge StackSets. La région que vous sélectionnez n'a aucune incidence sur les régions dans lesquelles vous pouvez effectuer le déploiement avec votre StackSet.
1. Dans le volet de navigation, choisissez **StackSets**.
1. En haut de la **StackSets**page, choisissez **Create StackSet**.
1. Sous **Autorisations**, sélectionnez **Autorisations en libre-service**, puis choisissez les rôles IAM que vous avez créés dans les prérequis.
+ Pour le rôle d'administrateur IAM, choisissez **AWSCloudFormationStackSetAdministrationRole**.
+ Pour le nom du rôle d'exécution IAM, sélectionnez **AWSCloudFormationStackSetExecutionRole**.
1. Sous **Prerequisite - Prepare template (Prérequis - Préparer le modèle)**, choisissez **Use a sample template (Utiliser un exemple de modèle)**.
1. Sous **Sélectionner un modèle d’exemple**, choisissez le modèle **Activer AWS Config**. Ensuite, choisissez **Suivant**.
Ce modèle crée les ressources nécessaires à activer AWS Config dans votre compte, notamment un enregistreur de configuration et un canal de diffusion.
1. Sur la page **Spécifier les StackSet détails**, saisissez le **StackSet nom****my-awsconfig-stackset**.
1. Pour **StackSet la description**, entrez**A StackSet that enables Config across multiple Regions**.
1. Sous **Paramètres**, configurez les AWS Config paramètres comme suit :
1. Pour **Support de tous les types de ressources**, conservez la valeur par défaut, **true**, pour enregistrer tous les types de ressources pris en charge.
1. Pour **Inclure les types de ressources globaux**, conservez la valeur par défaut, **false**, pour exclure les ressources globales telles que les rôles IAM.
1. Laissez la **liste des types de ressources si tous ne sont pas pris en charge** définie sur ****.
1. Pour **La région contenant la ressource de rôle liée au service Config**, remplacez **< DeployToAnyRegion >** par. **us-west-2**
Cela signifie que le rôle lié au service nommé `AWSServiceRoleForConfig` ne sera créé que si une pile est déployée dans la région USA Ouest (Oregon). Vous choisirez les régions de déploiement plus tôt lors de cette procédure.
1. Pour la **fréquence d’enregistrement de l’enregistreur de configuration**, choisissez l’enregistrement **QUOTIDIEN**.
1. Choisissez **Next (Suivant)** pour continuer.
1. Sur la page des ** StackSet options de configuration**, choisissez **Ajouter une nouvelle balise** et ajoutez une balise en spécifiant une paire clé/valeur :
1. Pour **Clé**, entrez **Stage**.
1. Pour le champ **Value (Valeur)**, entrez **Test**.
Les balises auxquelles vous postulez StackSets sont appliquées aux ressources créées par vos piles.
1. Pour la **configuration de l'exécution**, choisissez **Active** pour activer CloudFormation la gestion optimisée des opérations :
+ Les opérations non conflictuelles s’exécutent simultanément pour accélérer les temps de déploiement.
+ Les opérations en conflit sont automatiquement mises en file d’attente et traitées dans l’ordre dans lequel elles ont été demandées.
Lorsque les opérations sont en cours ou en file d'attente, met en CloudFormation file d'attente toutes les opérations entrantes, même si elles ne sont pas conflictuelles. Vous ne pouvez pas modifier les paramètres d’exécution pendant cette période.
1. Choisissez **Suivant**.
1. Sur la page **Définir les options de déploiement**, pour **Ajouter des piles à StackSet**, choisissez **Déployer de nouvelles piles**.
1. Pour **Accounts (Comptes)**, choisissez **Deploy stacks in accounts (Déployer des piles dans des comptes)**.
1. Dans la zone de texte, entrez votre Compte AWS identifiant.
1. Pour **Spécifier les régions**, sélectionnez les régions suivantes dans cet ordre :
1. Région USA Ouest (Oregon) (`us-west-2`)
1. Région USA Est (Virginie du Nord) (`us-east-1`)
Utilisez la flèche vers le haut à côté de la région USA Ouest (Oregon) pour la déplacer en haut de la liste si nécessaire. L’ordre des régions détermine leur ordre de déploiement.
1. Pour les **options de déploiement**, configurez les paramètres suivants :
1. Pour **Maximum concurrent accounts** (Nombre maximal de comptes en parallèle), conservez les valeurs par défaut **Number** (Nombre) et **1**.
Pour les déploiements multicomptes, ce paramètre signifie que votre stack est CloudFormation déployé sur un seul compte à la fois.
1. Pour **Failure tolerance (Tolérance aux pannes)**, conservez les valeurs par défaut **Number (Nombre)** et **0**.
Cela signifie qu'un maximum de déploiements zéro stack peuvent échouer dans l'une des régions que vous avez spécifiées avant d' CloudFormation arrêter le déploiement dans la région actuelle et d'annuler les déploiements dans les régions restantes.
1. Pour la **simultanéité des régions**, choisissez **Séquentiel** (par défaut).
Ce paramètre garantit que les CloudFormation déploiements sont terminés dans une région avant de passer à la suivante.
1. Pour le **mode simultané**, conservez la valeur par défaut de **tolérance stricte aux défaillances**.
Pour les déploiements multicomptes, cela réduit le niveau de simultanéité des comptes en cas de défaillance, tout en respectant la tolérance de **défaillance** \$11.
1. Choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez vos choix. Pour apporter des modifications, sélectionnez **Modifier** dans la section correspondante.
1. Lorsque vous êtes prêt à créer votre StackSet, choisissez **Soumettre**.
## StackSet Création de moniteurs
Une fois que vous avez choisi **Soumettre** CloudFormation , vous commencez à créer vos piles StackSet et à les déployer dans les régions spécifiées dans votre compte. La page de StackSet détails s'ouvre automatiquement et vous permet de suivre la progression de l'opération.
**Pour suivre la StackSet création**
1. Sur la page de StackSet détails, l'onglet **Opérations** est affiché par défaut, indiquant l'opération en cours.
1. Le statut de l'opération doit être `RUNNING` initialement. CloudFormationcrée des piles dans les régions que vous avez spécifiées en fonction des options de déploiement que vous avez configurées.
1. Pour afficher plus de détails sur l’opération, sélectionnez l’ID d’opération dans la liste.
1. Sur la page Détails des opérations, vous pouvez afficher l’état des instances de piles créées dans chaque région.
1. Attendez que le statut de l'opération passe à`SUCCEEDED`, ce qui indique que toutes StackSet les instances de pile ont été créées avec succès.
## Afficher les StackSet résultats
Une fois la StackSet création terminée, vous pouvez consulter les instances de stack déployées et vérifier qu' AWS Config elles ont été activées dans votre compte dans les régions spécifiées.
**Pour consulter les StackSet résultats**
1. Sur la page de StackSet détails, choisissez l'onglet **Stack instances**.
1. Vous devriez voir une liste des instances de stack créées dans votre compte dans les régions spécifiées. Chaque instance de pile doit avoir un état de `SUCCEEDED`, indiquant qu’elle a été déployée avec succès.
1. Pour vérifier que cela AWS Config est activé dans votre compte, vous pouvez consulter la AWS Config console dans chacune des régions déployées.
## Mettez à jour votre StackSet
Après avoir créé votre StackSet, vous souhaiterez peut-être le mettre à jour pour modifier les valeurs des paramètres ou ajouter d'autres régions. Cette section explique comment mettre à jour le paramètre de fréquence AWS Config d'enregistrement.
**Pour mettre à jour votre StackSet**
1. Sur la **StackSets**page, sélectionnez votre**my-awsconfig-stackset**.
1. Lorsque cette option est StackSet sélectionnée, choisissez **Modifier StackSet les détails** dans le menu **Actions**.
1. Sur la page **Choisir un modèle**, pour **Condition préalable – Préparer le modèle**, sélectionnez **Utiliser le modèle actuel**.
1. Choisissez **Suivant**.
1. Sur la page **Spécifier StackSet les détails**, sous **Paramètres**, recherchez la **fréquence d'enregistrement de l'enregistreur de configuration** et changez-la de **QUOTIDIENNE** à **CONTINUE**.
1. Choisissez **Suivant**.
1. Sur la page ** StackSet des options de configuration**, laissez les paramètres tels quels et choisissez **Suivant**.
1. Sur la page **Définir les options de déploiement**, spécifiez votre identifiant de compte et les mêmes régions que celles que vous avez utilisées lors de la création du StackSet.
1. Pour les **options de déploiement**, conservez les mêmes paramètres qu’auparavant.
1. Choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez vos choix et choisissez **Soumettre**.
1. CloudFormation commence à mettre à jour votre StackSet. Vous pouvez suivre la progression dans l'onglet **Opérations** de la page de StackSet détails.
## Ajoutez des piles à votre StackSet
Vous pouvez ajouter d'autres piles à votre compte StackSet en déployant dans d'autres régions. Cette section explique comment ajouter des piles dans une nouvelle région.
**Pour ajouter des piles à votre StackSet**
1. Sur la **StackSets**page, sélectionnez votre**my-awsconfig-stackset**.
1. Lorsque cette option est StackSet sélectionnée, choisissez **Ajouter des piles à** dans le StackSet menu **Actions**.
1. Sur la page **Définir les options de déploiement**, pour **Ajouter des piles à StackSet**, choisissez **Déployer de nouvelles piles**.
1. Pour les **comptes**, choisissez **Déployer des piles dans les comptes** et entrez votre identifiant de compte.
1. Pour **Spécifier les régions**, sélectionnez une nouvelle région, telle que **Europe (Irlande)** (`eu-west-1`).
1. Pour les **options de déploiement**, conservez les mêmes paramètres qu’auparavant.
1. Choisissez **Suivant**.
1. Sur la page **Spécifier les remplacements**, laissez les valeurs des propriétés telles qu’elles sont spécifiées et sélectionnez **Suivant**.
1. Sur la page **Vérification**, vérifiez vos choix et choisissez **Submit (Soumettre)**.
1. CloudFormation commence à créer de nouvelles piles dans la région spécifiée. Vous pouvez suivre la progression dans l'onglet **Opérations** de la page de StackSet détails.
## Nettoyage
Pour éviter de payer des frais pour AWS Config des ressources indésirables, vous devez faire le ménage en supprimant les piles de votre fichier StackSet, en supprimant la pile StackSet elle-même et en supprimant les rôles IAM que vous avez créés pour ce didacticiel. Toutes les ressources étant déployées au sein de votre compte, le nettoyage est simple.
**Pour supprimer des piles de votre StackSet**
1. Sur la **StackSets**page, sélectionnez votre**my-awsconfig-stackset**.
1. Lorsque cette option est StackSet sélectionnée, choisissez **Supprimer les piles dans le StackSet menu** **Actions**.
1. Sur la page **Options de déploiement**, sous **Comptes**, sélectionnez **Déployer les piles dans les comptes** et entrez votre ID de compte.
1. Pour **Spécifier les régions**, sélectionnez toutes les régions dans lesquelles vous avez déployé des piles.
1. Pour les **options de déploiement**, conservez les paramètres par défaut.
1. Assurez-vous que l’option **Conserver les piles** n’est *pas* activée, afin que les piles et leurs ressources soient supprimées.
1. Choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez vos choix et choisissez **Submit (Soumettre)**.
1. CloudFormation commence à supprimer les piles de votre. StackSet Vous pouvez suivre la progression dans l'onglet **Opérations** de la page de StackSet détails.
**Pour supprimer votre StackSet**
1. Une fois que toutes les piles ont été supprimées, sur la **StackSets**page, sélectionnez votre**my-awsconfig-stackset**.
1. Lorsque cette option est StackSet sélectionnée, choisissez **Supprimer** dans le StackSet menu **Actions**.
1. Lorsque vous êtes invité à confirmer, sélectionnez **Supprimer**.
**Suppression des rôles du service IAM**
Comme vous n’avez déployé que sur votre compte, vous n’avez qu’à supprimer les rôles IAM de ce seul compte, ce qui simplifie considérablement le nettoyage par rapport aux déploiements multi-comptes.
1. Ouvrez la [console IAM](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, choisissez **Rôles**.
1. Dans la zone de recherche, saisissez **AWSCloudFormationStackSet** pour trouver les rôles que vous avez créés pour ce didacticiel.
1. Cochez la case à côté de. **AWSCloudFormationStackSetAdministrationRole**
1. En haut de la page, choisissez **Supprimer**.
1. Dans le champ de confirmation, entrez **delete**, puis choisissez **Supprimer**.
1. Répétez le même processus pour supprimer le **AWSCloudFormationStackSetExecutionRole**.
Une fois le supprimé StackSet, un compartiment Amazon S3 restera dans chacun d'eux Région AWS en raison de l'`DeletionPolicy`attribut de la `AWS::S3::Bucket` ressource. Cela préserve vos données d' AWS Config historique. Si vous n’avez plus besoin de ces données, vous pouvez supprimer le compartiment manuellement en toute sécurité. Avant de pouvoir supprimer un compartiment, vous devez d’abord supprimer son contenu. Vider un compartiment supprime tous les objets qu’il contient.
**Pour vider et supprimer les compartiments Amazon S3**
1. Ouvrez la [console Amazon S3](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation situé sur le côté gauche de la console, choisissez **Compartiments**.
1. Dans la liste des **compartiments**, vous verrez des compartiments créés à cet effet StackSet dans chaque région où vous avez effectué un déploiement. Sélectionnez l'option à côté du nom du bucket créé à cet effet StackSet, puis choisissez **Empty**.
1. Sur la page **Vider le compartiment**, confirmez que vous souhaitez vider le compartiment en saisissant **permanently delete** dans le champ de texte, puis choisissez **Vider**.
1. Surveillez la progression du processus de vidage du compartiment sur la page **Vider le compartiment : état**.
1. Pour revenir à votre liste de compartiments, choisissez **Quitter**.
1. Sélectionnez l’option en regard du nom du compartiment, puis choisissez **Supprimer**.
1. Lorsque vous êtes invité à confirmer, saisissez le nom du compartiment, puis sélectionnez **Supprimer le compartiment**.
1. Surveillez la progression du processus de suppression des compartiments à partir de la liste **Compartiments**. Lorsque Amazon S3 a terminé la suppression du compartiment, il le supprime de la liste.
1. Répétez ce processus pour chaque compartiment créé par les StackSet dans les différentes régions.
## Étapes suivantes
Félicitations \$1 Vous avez réussi à en créer un StackSet à l'aide d'un exemple de modèle, à déployer des piles dans plusieurs régions de votre compte, à les mettre à jour StackSet, à en ajouter d'autres et à nettoyer vos ressources. En vous concentrant sur le déploiement d'un seul compte, vous avez simplifié le processus de nettoyage tout en apprenant les principales fonctionnalités multirégionales de. StackSets
Pour en savoir plus StackSets, consultez les rubriques suivantes :
+ [Remplacez les valeurs des paramètres sur les piles de votre CloudFormation StackSet](stackinstances-override.md) : découvrez comment remplacer les valeurs des paramètres pour des comptes et des régions spécifiques.
+ [Créez CloudFormation StackSets avec des autorisations gérées par le service](stacksets-orgs-associate-stackset-with-org.md)— Découvrez la création StackSets pour les déploiements multi-comptes avec. AWS Organizations
# Créez CloudFormation StackSets avec des autorisations autogérées
Cette rubrique explique comment créer à l' StackSets aide d'autorisations *autogérées* pour déployer des piles dans différentes régions Comptes AWS et régions.
**Note**
Avant de continuer, créez les rôles de service IAM requis StackSets pour établir une relation de confiance entre le compte à StackSet partir duquel vous administrez et le compte sur lequel vous déployez des stacks. Pour de plus amples informations, veuillez consulter [Accorder des autorisations autogérées](stacksets-prereqs-self-managed.md).
**Topics**
+ [Créer un StackSet avec des autorisations autogérées (console)](#stacksets-getting-started-create-self-managed-console)
+ [Créez un StackSet avec des autorisations autogérées ()AWS CLI](#stacksets-getting-started-self-managed-cli)
## Créer un StackSet avec des autorisations autogérées (console)
**Pour créer un StackSet**
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans la barre de navigation en haut de l'écran, choisissez Région AWS celui à StackSet partir duquel vous souhaitez gérer.
1. Dans le volet de navigation, choisissez **StackSets**.
1. En haut de la **StackSets**page, choisissez **Create StackSet**.
1. Sous **Autorisations**, choisissez **Autorisations en libre-service** et choisissez les rôles IAM que vous avez créés.
1. Sous **Prérequis – Préparer le modèle**, sélectionnez **Le modèle est prêt**.
1. Sous **Spécifier le modèle**, choisissez soit de spécifier l’URL du compartiment S3 qui contient votre modèle de pile, soit de charger un fichier de modèle de pile. Ensuite, choisissez **Suivant**.
1. Sur la page **Spécifier StackSet les détails**, attribuez un nom au StackSet, spécifiez les paramètres éventuels, puis choisissez **Next**.
1. Choisissez **Next (Suivant)** pour continuer.
1. Sur la page des ** StackSet options de configuration**, sous **Balises**, spécifiez les balises à appliquer aux ressources de votre pile. Pour plus d'informations sur la façon dont les balises sont utilisées AWS, consultez la section [Organisation et suivi des coûts à l'aide des balises de répartition des AWS coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dans le *Guide de AWS Billing and Cost Management l'utilisateur*.
1. Pour la **configuration de l'exécution**, choisissez **Active** pour activer CloudFormation la gestion optimisée des opérations :
+ Les opérations non conflictuelles s’exécutent simultanément pour accélérer les temps de déploiement.
+ Les opérations en conflit sont automatiquement mises en file d’attente et traitées dans l’ordre dans lequel elles ont été demandées.
Lorsque les opérations sont en cours ou en file d'attente, met en CloudFormation file d'attente toutes les opérations entrantes, même si elles ne sont pas conflictuelles. Vous ne pouvez pas modifier les paramètres d’exécution pendant cette période.
1. Si votre modèle contient des ressources IAM, dans la section **Capacités**, choisissez **Je sais que ce modèle peut créer des ressources IAM** pour indiquer que vous autorisez l’utilisation de ressources IAM dans le modèle. Pour de plus amples informations, veuillez consulter [Reconnaissance des ressources IAM dans les modèles CloudFormation](control-access-with-iam.md#using-iam-capabilities).
1. Choisissez **Suivant**.
1. Sur la page **Définir les options de déploiement**, pour **Ajouter des piles à StackSet**, choisissez **Déployer de nouvelles piles**.
1. Pour **Accounts (Comptes)**, choisissez **Deploy stacks in accounts (Déployer des piles dans des comptes)**. Collez vos Compte AWS numéros cibles dans la zone de texte, en séparant les numéros multiples par des virgules.
**Note**
Vous pouvez inclure votre identifiant de compte administrateur si vous souhaitez également déployer des stacks dans ce compte.
1. Sous **Spécifier les régions**, choisissez les régions dans lesquelles vous voulez déployer des piles.
1. Pour **Options de déploiement**, procédez comme suit :
+ Pour **Nombre maximal de comptes simultanés**, spécifiez le nombre de comptes traités simultanément.
+ Pour **Tolérance aux défaillances**, spécifiez le nombre maximum de défaillances de compte autorisées par région. L’opération s’arrêtera et ne se poursuivra pas dans d’autres régions une fois cette limite atteinte.
+ Pour la **simultanéité des régions**, choisissez comment traiter les régions : **séquentiellement** (une région à la fois) ou en **parallèle** (plusieurs régions simultanément).
+ Pour le **mode simultané**, choisissez le comportement de la simultanéité lors de l’exécution de l’opération.
+ **Tolérance stricte aux pannes** : réduit le niveau de concurrence des comptes en cas de panne, en restant dans les limites de la **tolérance aux pannes** \$11.
+ **Tolérance aux pannes légères** : maintient le niveau de concurrence spécifié (la valeur du **nombre maximal de comptes simultanés**) indépendamment des pannes.
1. Choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez vos choix. Pour apporter des modifications, sélectionnez **Modifier** dans la section correspondante.
1. Lorsque vous êtes prêt à créer votre StackSet, choisissez **Soumettre**.
CloudFormation commence à créer votre StackSet. Consultez la progression et le statut de la création des piles StackSet dans votre page de StackSet détails qui s'ouvre lorsque vous choisissez **Soumettre**.
## Créez un StackSet avec des autorisations autogérées ()AWS CLI
Suivez les étapes décrites dans cette section pour utiliser le AWS CLI pour :
+ Créez le StackSet conteneur.
+ Déployez des instances de pile.
**Pour créer un StackSet**
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html)commande pour créer un nouveau StackSet nom`my-stackset`. L’exemple suivant utilise un modèle stocké dans un compartiment S3 et inclut un paramètre qui définit un `KeyPairName` avec la valeur `TestKey`.
```
aws cloudformation create-stack-set \
--stack-set-name my-stackset \
--template-url https://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/MyApp.template \
--parameters ParameterKey=KeyPairName,ParameterValue=TestKey
```
1. Une fois votre **create-stack-set** commande terminée, exécutez-la pour vérifier que votre [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html)commande StackSet a été créée. Vous devriez voir votre nouveau StackSet dans les résultats.
```
aws cloudformation list-stack-sets
```
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html)commande pour déployer des piles dans votre StackSet. L’exemple suivant déploie des piles dans deux Comptes AWS (`account_ID_1` et `account_ID_2`) dans deux régions (`us-west-2` et `us-east-1`).
Définissez le traitement simultané des comptes et les autres préférences de déploiement à l’aide de cette option `--operation-preferences`. Cet exemple utilise des paramètres basés sur le décompte. Notez que `MaxConcurrentCount` ne doit pas dépasser `FailureToleranceCount` \$1 1. Pour les paramètres basés sur des pourcentages, utilisez `FailureTolerancePercentage` ou `MaxConcurrentPercentage` à la place.
```
aws cloudformation create-stack-instances \
--stack-set-name my-stackset \
--accounts account_ID_1 account_ID_2 \
--regions us-west-2 us-east-1 \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
Pour plus d’informations, consultez [CreateStackInstances](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackInstances.html) dans la *Référence d’API AWS CloudFormation *.
1. Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html) pour vérifier que vos piles ont été créées avec succès. Pour l’option `--operation-id`, spécifiez l’ID d’opération renvoyé dans le cadre de la sortie **create-stack-instances**.
```
aws cloudformation describe-stack-set-operation \
--stack-set-name my-stackset \
--operation-id operation_ID
```
# Créez CloudFormation StackSets avec des autorisations gérées par le service
Avec les autorisations *gérées par les services, vous pouvez déployer des piles sur des comptes gérés par AWS Organizations des régions spécifiques*. Avec ce modèle, il n'est pas nécessaire de créer des rôles IAM dans chaque compte cible et Région AWS. CloudFormation crée les rôles IAM en votre nom. Pour de plus amples informations, veuillez consulter [Activer l’accès approuvé](stacksets-orgs-activate-trusted-access.md).
**Topics**
+ [Considérations](#stacksets-orgs-considerations)
+ [Créer un StackSet avec des autorisations gérées par le service (console)](#stacksets-orgs-associate-stackset-with-org-console)
+ [Créer un StackSet avec des autorisations gérées par le service ()AWS CLI](#stacksets-orgs-associate-stackset-with-org-cli)
## Considérations
Avant de créer un StackSet avec des autorisations gérées par le service, tenez compte des points suivants :
+ StackSets avec des autorisations gérées par les services peuvent être initiées soit par le compte de gestion de votre organisation, soit par des comptes d'administrateur délégué, mais toutes les opérations sont effectuées par le compte de gestion.
+ CloudFormation ne déploie pas les piles sur le compte de gestion, même si ce compte fait partie de votre organisation ou appartient à une unité organisationnelle (UO).
+ StackSet Vous pouvez cibler l'ensemble de votre organisation (y compris tous les comptes) ou certains d'entre eux OUs. Lorsqu'une unité d'organisation StackSet cible un parent, elle inclut automatiquement n'importe quel enfant OUs. Par défaut, lorsqu'une StackSet cible est spécifique OUs, elle inclut tous les comptes concernés OUs. Cependant, vous pouvez cibler des comptes spécifiques à l’aide des options de filtrage des comptes.
+ Plusieurs StackSets peuvent cibler la même organisation ou la même unité d'organisation.
+ Vous ne pouvez pas cibler des comptes en dehors de votre organisation.
+ Votre autorisation de déploiement StackSets dépend des autorisations attribuées au principal IAM (utilisateur, rôle ou groupe) que vous utilisez pour vous connecter au compte de gestion. Pour obtenir un exemple de politique IAM qui accorde des autorisations de déploiement dans une organisation, veuillez consulter [Restriction des opérations sur les ensembles de piles en fonction de la région et des types de ressources](security_iam_id-based-policy-examples.md#resource-level-permissions-service-managed-stack-set).
+ Les administrateurs délégués disposent de toutes les autorisations nécessaires pour effectuer des déploiements sur n’importe quel compte de votre organisation. Le compte de gestion ne peut pas limiter les autorisations d'administrateur déléguées pour le déploiement sur des StackSet opérations OUs ou des opérations spécifiques.
+ Les paramètres de déploiement automatique s'appliquent au StackSet niveau. Vous ne pouvez pas ajuster les déploiements automatiques de manière sélective pour OUs, les comptes ou les régions.
+ StackSets qui utilisent des autorisations gérées par les services ne prennent pas en charge les piles imbriquées ou les modèles contenant des macros ou des transformations.
## Créer un StackSet avec des autorisations gérées par le service (console)
**Pour créer un StackSet**
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans la barre de navigation en haut de l'écran, choisissez Région AWS celui à StackSet partir duquel vous souhaitez gérer.
1. Dans le volet de navigation, choisissez **StackSets**.
1. En haut de la **StackSets**page, choisissez **Create StackSet**.
1. Sous **Autorisations**, choisissez **Autorisations gérées par le service**.
**Note**
Si l'accès sécurisé avec AWS Organizations est désactivé, une bannière s'affiche. Un accès sécurisé est requis pour créer ou mettre à jour un StackSet avec des autorisations gérées par le service. Seul l'administrateur du compte de gestion de l'organisation dispose des autorisations nécessaires pour [Activez un accès sécurisé pour StackSets avec AWS Organizations](stacksets-orgs-activate-trusted-access.md).
1. Sous **Prérequis – Préparer le modèle**, sélectionnez **Le modèle est prêt**.
1. Sous **Spécifier le modèle**, choisissez soit de spécifier l’URL du compartiment S3 qui contient votre modèle de pile, soit de charger un fichier de modèle de pile. Ensuite, choisissez **Suivant**.
1. Sur la page **Spécifier StackSet les détails**, attribuez un nom au StackSet, spécifiez les paramètres éventuels, puis choisissez **Next**.
1. Sur la page des ** StackSet options de configuration**, sous **Balises**, spécifiez les balises à appliquer aux ressources de votre pile. Pour plus d'informations sur la façon dont les balises sont utilisées AWS, consultez la section [Organisation et suivi des coûts à l'aide des balises de répartition des AWS coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dans le *Guide de AWS Billing and Cost Management l'utilisateur*.
1. Pour la **configuration de l'exécution**, choisissez **Active** pour activer CloudFormation la gestion optimisée des opérations :
+ Les opérations non conflictuelles s’exécutent simultanément pour accélérer les temps de déploiement.
+ Les opérations en conflit sont automatiquement mises en file d’attente et traitées dans l’ordre dans lequel elles ont été demandées.
Lorsque les opérations sont en cours ou en file d'attente, met en CloudFormation file d'attente toutes les opérations entrantes, même si elles ne sont pas conflictuelles. Vous ne pouvez pas modifier les paramètres d’exécution pendant cette période.
1. Si votre modèle contient des ressources IAM, dans la section **Capacités**, choisissez **Je sais que ce modèle peut créer des ressources IAM** pour indiquer que vous autorisez l’utilisation de ressources IAM dans le modèle. Pour de plus amples informations, veuillez consulter [Reconnaissance des ressources IAM dans les modèles CloudFormation](control-access-with-iam.md#using-iam-capabilities).
1. Choisissez **Suivant** pour continuer et activer l'accès sécurisé si cela n'a pas encore été fait.
1. Sur la page **Définir les options de déploiement**, sous **Cibles de déploiement**, procédez de l’une des manières suivantes :
+ Pour déployer vers tous les comptes de votre organisation, choisissez **Déployer vers l’organisation**.
+ Pour effectuer un déploiement sur tous les comptes en particulier OUs, choisissez **Déployer vers les unités organisationnelles (OUs)**. Choisissez **Ajouter une UO**, puis collez l'ID d'unité d'organisation cible dans la zone de texte. Répétez l'opération pour chaque nouvelle UO cible.
Si vous avez choisi **Déployer vers les unités organisationnelles (OUs)**, pour le **type de filtre de compte**, vous pouvez définir vos cibles de déploiement pour qu'elles soient des comptes individuels spécifiques en choisissant l'une des options suivantes et en fournissant des numéros de compte.
+ **Aucun** (par défaut) : déployez des piles sur tous les comptes de la zone spécifiée OUs.
+ **Intersection** — Déployez des piles sur des comptes individuels spécifiques au sein des comptes sélectionnés OUs.
+ **Différence** — Déployez des piles sur tous les comptes sélectionnés, à l' OUs exception de comptes spécifiques.
+ **Union** — Déployez des piles sur les comptes spécifiés OUs ainsi que sur des comptes individuels supplémentaires.
1. Sous **Déploiement automatique**, choisissez si vous souhaitez effectuer le déploiement automatique sur les comptes ajoutés à l'organisation cible ou OUs dans le futur. Pour de plus amples informations, veuillez consulter [Activer ou désactiver les déploiements automatiques pour StackSets dans AWS Organizations](stacksets-orgs-manage-auto-deployment.md).
1. Si vous avez activé le déploiement automatique, sous **Comportement de suppression de compte**, choisissez si les ressources de pile sont conservées ou supprimées lorsqu’un compte est supprimé d’une organisation cible ou d’une UO.
**Note**
Lorsque l'option **Conserver les piles** est sélectionnée, les piles sont supprimées de vos piles StackSet, mais les piles et les ressources associées sont conservées. Les ressources restent dans leur état actuel, mais n'en feront plus partie StackSet.
1. Sous **Spécifier les régions**, choisissez les régions dans lesquelles vous voulez déployer des piles.
1. Pour **Options de déploiement**, procédez comme suit :
+ Pour **Nombre maximal de comptes simultanés**, spécifiez le nombre de comptes traités simultanément.
+ Pour **Tolérance aux défaillances**, spécifiez le nombre maximum de défaillances de compte autorisées par région. L’opération s’arrêtera et ne se poursuivra pas dans d’autres régions une fois cette limite atteinte.
+ Pour la **simultanéité des régions**, choisissez comment traiter les régions : **séquentiellement** (une région à la fois) ou en **parallèle** (plusieurs régions simultanément).
+ Pour le **mode simultané**, choisissez le comportement de la simultanéité lors de l’exécution de l’opération.
+ **Tolérance stricte aux pannes** : réduit le niveau de concurrence des comptes en cas de panne, en restant dans les limites de la **tolérance aux pannes** \$11.
+ **Tolérance aux pannes légères** : maintient le niveau de concurrence spécifié (la valeur du **nombre maximal de comptes simultanés**) indépendamment des pannes.
+ Pour StackSet **les dépendances**, ajoutez dependent StackSet ARNs, en respectant un maximum de 10 dépendances. Pour de plus amples informations, veuillez consulter [Activer ou désactiver les déploiements automatiques pour StackSets dans AWS Organizations](stacksets-orgs-manage-auto-deployment.md).
1. Choisissez **Next (Suivant)** pour continuer.
1. Sur la page de **révision**, vérifiez que vous StackSet allez effectuer le déploiement sur les bons comptes dans les bonnes régions, puis choisissez **Créer StackSet**.
La page **StackSet de détails** s'ouvre. Vous pouvez consulter la progression et le statut de la création des piles dans votre StackSet.
## Créer un StackSet avec des autorisations gérées par le service ()AWS CLI
Suivez les étapes décrites dans cette section pour utiliser le AWS CLI pour :
+ Créez le StackSet conteneur.
+ Déployez des instances de pile.
**Note**
Lorsque vous agissez en tant qu’administrateur délégué, vous devez inclure `--call-as DELEGATED_ADMIN` dans la commande.
------
#### [ Deploy to your organization ]
**Pour créer un StackSet**
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html)commande pour créer un nouveau StackSet nom`my-stackset`. L’exemple suivant utilise un modèle stocké dans un compartiment S3, active les déploiements automatiques et conserve les piles lorsque les comptes sont supprimés. Pour de plus amples informations, veuillez consulter [Activer ou désactiver les déploiements automatiques pour StackSets dans AWS Organizations](stacksets-orgs-manage-auto-deployment.md).
```
aws cloudformation create-stack-set \
--stack-set-name my-stackset \
--template-url https://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/MyApp.template \
--permission-model SERVICE_MANAGED \
--auto-deployment Enabled=true,RetainStacksOnAccountRemoval=true,DependsOn=ARN1,ARN2
```
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html)commande pour confirmer que vous avez bien StackSet été créé. Votre nouveau StackSet est répertorié dans les résultats.
```
aws cloudformation list-stack-sets
```
+ Si vous définissez l'`--call-as`option sur `DELEGATED_ADMIN` lorsque vous êtes connecté à votre compte de membre, **list-stack-sets** tous les fichiers dotés d'autorisations gérées StackSets par le service sont renvoyés dans le compte de gestion de l'organisation.
+ Si vous définissez l'`--call-as`option sur `SELF` lorsque vous êtes connecté à votre Compte AWS, **list-stack-sets** renvoie tous les éléments autogérés StackSets dans votre Compte AWS.
+ Si vous définissez l'`--call-as`option sur `SELF` lorsque vous êtes connecté au compte de gestion de l'organisation, toutes les données sont **list-stack-sets** renvoyées StackSets dans le compte de gestion de l'organisation.
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html)commande pour ajouter des piles à votre StackSet. Pour l’option `--deployment-targets`, spécifiez l’ID racine de l’organisation afin de déployer sur tous les comptes de votre organisation.
Définissez le traitement simultané des comptes et les autres préférences de déploiement à l’aide de cette option `--operation-preferences`. Cet exemple utilise des paramètres basés sur le décompte. Notez que `MaxConcurrentCount` ne doit pas dépasser `FailureToleranceCount` \$1 1. Pour les paramètres basés sur des pourcentages, utilisez `FailureTolerancePercentage` ou `MaxConcurrentPercentage` à la place.
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=r-a1b2c3d4e5 \
--regions us-west-2 us-east-1 \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
Pour plus d’informations, consultez [CreateStackInstances](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackInstances.html) dans la *Référence d’API AWS CloudFormation *.
1. À l’aide du `operation-id` renvoyé dans la sortie **create-stack-instances**, utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html) suivante pour vérifier que vos piles ont été créées avec succès.
```
aws cloudformation describe-stack-set-operation \
--stack-set-name my-stackset \
--operation-id operation_ID
```
------
#### [ Deploy to organizational units (OUs) ]
**Pour créer un StackSet**
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html)commande pour créer un nouveau StackSet nom`my-stackset`. L’exemple suivant utilise un modèle stocké dans un compartiment S3 et inclut un paramètre qui définit un `KeyPairName` avec la valeur `TestKey`
```
aws cloudformation create-stack-set \
--stack-set-name my-stackset \
--template-url https://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/MyApp.template \
--permission-model SERVICE_MANAGED \
--parameters ParameterKey=KeyPairName,ParameterValue=TestKey
```
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html)commande pour confirmer que vous avez bien StackSet été créé. Votre nouveau StackSet est répertorié dans les résultats.
```
aws cloudformation list-stack-sets
```
+ Si vous définissez l'`--call-as`option sur `DELEGATED_ADMIN` lorsque vous êtes connecté à votre compte de membre, **list-stack-sets** tous les fichiers dotés d'autorisations gérées StackSets par le service sont renvoyés dans le compte de gestion de l'organisation.
+ Si vous définissez l'`--call-as`option sur `SELF` lorsque vous êtes connecté à votre Compte AWS, **list-stack-sets** renvoie tous les éléments autogérés StackSets dans votre Compte AWS.
+ Si vous définissez l'`--call-as`option sur `SELF` lorsque vous êtes connecté au compte de gestion de l'organisation, toutes les données sont **list-stack-sets** renvoyées StackSets dans le compte de gestion de l'organisation.
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html)commande pour ajouter des piles à votre StackSet. Pour l'`--deployment-targets`option, spécifiez l'unité d'organisation IDs vers laquelle le déploiement doit être effectué.
Définissez le traitement simultané des comptes et les autres préférences de déploiement à l’aide de cette option `--operation-preferences`. Cet exemple utilise des paramètres basés sur le décompte. Notez que `MaxConcurrentCount` ne doit pas dépasser `FailureToleranceCount` \$1 1. Pour les paramètres basés sur des pourcentages, utilisez `FailureTolerancePercentage` ou `MaxConcurrentPercentage` à la place.
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=ou-rcuk-1x5j1lwo,ou-rcuk-slr5lh0a \
--regions us-west-2 us-east-1 \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
Pour plus d’informations, consultez [CreateStackInstances](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackInstances.html) dans la *Référence d’API AWS CloudFormation *.
1. À l’aide du `operation-id` renvoyé dans la sortie **create-stack-instances**, utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html) suivante pour vérifier que vos piles ont été créées avec succès.
```
aws cloudformation describe-stack-set-operation \
--stack-set-name my-stackset \
--operation-id operation_ID
```
------
#### [ Deploy to specific accounts in OUs ]
Vous pouvez cibler des unités organisationnelles spécifiques (OUs) et utiliser le filtrage des comptes pour contrôler précisément quels comptes reçoivent des déploiements de stack. Par défaut, les piles sont déployées sur tous les comptes compris dans les limites spécifiées OUs si aucun filtrage de compte n'est spécifié.
Dans le AWS CLI, vous spécifiez le filtrage des comptes avec l'`--deployment-targets`option. Pour de plus amples informations, veuillez consulter [DeploymentTargets](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeploymentTargets.html).
Après avoir créé le StackSet conteneur à l'aide de la **create-stack-set** commande, utilisez l'un des exemples suivants pour déployer des piles sur des comptes spécifiques.
**Cibler des comptes spécifiques dans une UO**
L'exemple suivant déploie des piles uniquement sur les comptes A1 et A2 de. OU1
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=OU1,Accounts=A1,A2,AccountFilterType=INTERSECTION \
--regions us-west-2 us-east-1
```
**Exclure des comptes d’une UO**
L'exemple suivant déploie des piles sur tous les comptes OU1 sauf les comptes A1 et A2.
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=OU1,Accounts=A1,A2,AccountFilterType=DIFFERENCE \
--regions us-west-2 us-east-1
```
------
# Activer ou désactiver les déploiements automatiques pour StackSets dans AWS Organizations
CloudFormation peut déployer automatiquement des piles supplémentaires sur de nouveaux AWS Organizations comptes lorsqu'ils sont ajoutés à votre organisation ou à vos unités organisationnelles cibles (OUs). Vous pouvez activer les déploiements automatiques et choisir de supprimer ou de conserver les piles et les ressources associées lorsque des comptes sont supprimés de Target. OUs Ces paramètres peuvent être modifiés à tout moment pour utiliser StackSets les autorisations gérées par le service.
## Fonctionnement des déploiements automatiques
Lorsque les déploiements automatiques sont activés, ils sont déclenchés lorsque des comptes sont ajoutés à une organisation ou à une unité d'organisation cible, supprimés d'une organisation ou d'une unité d'organisation cible, ou déplacés d'une cible OUs à une autre.
Prenons l’exemple de `StackSet1` qui cible `OU1` dans la région `us-east-1` et de `StackSet2` qui cible `OU2` dans la région `us-east-1`. `OU1` contient `AccountA`.
Si vous passez `AccountA` de `OU1` à `OU2` avec les déploiements automatiques activés, exécute CloudFormation automatiquement une opération de suppression pour retirer la `StackSet1` pile `AccountA` et met en file d'attente une opération de création qui ajoute la `StackSet2` pile à. `AccountA`
## Considérations
Voici quelques considérations à prendre en compte lors de l’utilisation des déploiements automatiques :
+ La fonctionnalité de déploiements automatiques est activée au StackSet niveau. Vous ne pouvez pas ajuster les déploiements automatiques de manière sélective pour OUs, les comptes ou les régions.
+ Les valeurs de paramètres remplacées ne s'appliquent qu'aux comptes qui se trouvent actuellement dans la cible OUs et à leur enfant. OUs Les comptes ajoutés à la cible OUs et à son enfant OUs à l'avenir utiliseront les valeurs StackSet par défaut et non les valeurs remplacées.
+ Les déploiements automatiques ne prennent pas en compte les filtres de ciblage au niveau du compte. Si vous ciblez des comptes spécifiques et activez les déploiements automatiques, vous StackSet continuerez à déployer sur tous les comptes nouvellement ajoutés au sein de l'organisation déployée. Pour empêcher les déploiements vers les comptes nouvellement ajoutés, désactivez les déploiements automatiques.
+ Gestion des dépendances : définissez jusqu'à 10 dépendances par compte StackSet, avec un maximum de 100 dépendances par compte. Par exemple, si vous en avez cinq StackSets avec cinq dépendances chacune, vous avez 25 dépendances prises en compte dans la limite de 100 dépendances. Vous pouvez demander une augmentation de limite via la [console de quotas de service](https://console.aws.amazon.com/servicequotas/home). Les dépendances sont supprimées lorsqu'elles StackSets sont supprimées ou lorsque les Organisations sont désactivées.
+ Il est recommandé d'activer l'exécution gérée lors de l'utilisation de déploiements automatiques. L'exécution gérée permettra aux opérations de déploiement automatique sur plusieurs comptes cibles de s'exécuter simultanément au sein d'un même compte StackSet, augmentant ainsi la vitesse de traitement, en particulier pour les grandes Organisations.
## Activer ou désactiver les déploiements automatiques (console)
**Pour activer ou désactiver les déploiements automatiques**
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans la barre de navigation en haut de l'écran, choisissez le StackSet dans lequel Région AWS vous l'avez créé.
1. Dans le volet de navigation, choisissez **StackSets**.
1. Sur la **StackSets**page, sélectionnez l'option à côté du nom de la personne StackSet à mettre à jour.
1. Sélectionnez **Modifier le déploiement automatique** dans le menu **Actions** situé dans le coin supérieur droit.
1. Dans la boîte de dialogue qui s’ouvre, procédez comme suit :
1. Pour **Déploiement automatique**, sélectionnez **Activé** ou **Désactivé**.
1. Pour **Comportement de suppression de compte**, sélectionnez **Supprimer les piles** ou **Conserver les piles**. Les ressources conservées restent dans leur état actuel, mais n'en feront plus partie StackSet.
1. Pour StackSet **les dépendances**, ajoutez dependent StackSet ARNs, en respectant un maximum de 10 dépendances.
1. Choisissez **Enregistrer**.
## Activer ou désactiver les déploiements automatiques (AWS CLI)
**Pour activer ou désactiver les déploiements automatiques**
1. Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-set.html) avec l’option `--auto-deployment`.
La commande suivante active les déploiements automatiques.
```
aws cloudformation update-stack-set --stack-set-name my-stackset \
--use-previous-template --auto-deployment Enabled=true,RetainStacksOnAccountRemoval=true,DependsOn=ARN1,ARN2
```
Pour désactiver les déploiements automatiques, spécifiez `Enabled=false` comme valeur pour l’option `--auto-deployment`, comme dans l’exemple suivant.
```
aws cloudformation update-stack-set --stack-set-name my-stackset \
--use-previous-template --auto-deployment Enabled=false
```
1. À l'aide de l'ID d'opération renvoyé dans le cadre de la **update-stack-set** sortie, exécutez [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html)pour vérifier que votre mise à jour StackSet a été effectuée avec succès.
```
aws cloudformation describe-stack-set-operation --operation-id operation_ID
```
# Mettre à jour CloudFormation StackSets
Vous pouvez effectuer la mise à jour à l' StackSet aide de la CloudFormation console ou du AWS CLI.
Pour ajouter et supprimer des comptes et des régions dans un StackSet, consultez [Ajoutez des piles à StackSets](stackinstances-create.md) et[Supprimer des piles de StackSets](stackinstances-delete.md). Pour remplacer les valeurs des paramètres d’une pile, consultez [Remplacer les paramètres sur les piles](stackinstances-override.md).
**Topics**
+ [Mettez à jour votre StackSet (console)](#stacksets-update-console)
+ [Mettez à jour votre StackSet (AWS CLI)](#stacksets-update-cli)
## Mettez à jour votre StackSet (console)
**Pour mettre à jour un StackSet**
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans la barre de navigation en haut de l'écran, choisissez le StackSet dans lequel Région AWS vous l'avez créé.
1. Dans le volet de navigation, choisissez **StackSets**.
1. Sur la **StackSets**page, sélectionnez celui que StackSet vous souhaitez mettre à jour.
1. Lorsque cette option est StackSet sélectionnée, choisissez **Modifier StackSet les détails** dans le menu **Actions**.
1. Sur la page **Choisissez un modèle**, mettez à jour la section **Autorisations** si nécessaire, ou passez à l’étape suivante.
1. Pour **Prérequis – Préparer le modèle**, choisissez **Utiliser le modèle actuel** pour utiliser le modèle actuel, ou **Remplacer le modèle actuel** pour spécifier une URL S3 vers un autre modèle ou charger un nouveau modèle.
1. Choisissez **Suivant**.
1. Sur la page **Spécifier StackSet les détails**, pour la **StackSet description**, mettez à jour la description StackSet selon les besoins.
1. Pour **Paramètres**, mettez à jour les valeurs des paramètres selon vos besoins.
1. Choisissez **Suivant**.
1. Sur la page des ** StackSet options de configuration**, pour les **balises**, modifiez les balises selon vos besoins. Vous pouvez ajouter, mettre à jour ou supprimer des balises. Pour plus d'informations sur la façon dont les balises sont utilisées AWS, consultez la section [Organisation et suivi des coûts à l'aide des balises de répartition des AWS coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dans le *Guide de AWS Billing and Cost Management l'utilisateur*.
1. Pour **Configuration d’exécution**, vous pouvez mettre à jour la configuration d’exécution selon vos besoins.
**Note**
N’oubliez pas que vous ne pouvez pas modifier les paramètres d’exécution lorsque des opérations sont en cours d’exécution ou en attente.
1. Si votre modèle contient des ressources IAM, dans la section **Capacités**, choisissez **Je sais que ce modèle peut créer des ressources IAM** pour indiquer que vous autorisez l’utilisation de ressources IAM dans le modèle. Pour de plus amples informations, veuillez consulter [Reconnaissance des ressources IAM dans les modèles CloudFormation](control-access-with-iam.md#using-iam-capabilities).
1. Choisissez **Suivant**.
1. Sur la page **Définir les options de déploiement**, indiquez les comptes et les régions pour la mise à jour.
CloudFormation déploiera les mises à jour de la pile dans les comptes spécifiés au sein de la première région, puis passera à la suivante, et ainsi de suite, tant que les échecs de déploiement d'une région ne dépassent pas la tolérance d'échec spécifiée.
1. [Autorisations autogérées] Pour **Comptes**, **Emplacements de déploiement**, choisissez **Déployer des piles dans les comptes**. Collez le compte cible IDs que vous avez utilisé pour créer le vôtre StackSet dans la zone de texte, en séparant les nombres par des virgules.
[Autorisations gérées par le service] Effectuez l’une des méthodes suivantes :
+ Choisissez **Déployer vers les unités organisationnelles (OUs)**. Entrez la cible OUs que vous avez utilisée pour créer votre StackSet.
+ Choisissez **Déployer sur les comptes**. Collez l'unité d'organisation IDs ou le compte cible IDs que vous avez utilisé pour créer votre StackSet.
1. Pour **Spécifier les régions**, spécifiez l'ordre dans lequel vous souhaitez CloudFormation déployer vos mises à jour.
1. Pour **Options de déploiement**, procédez comme suit :
+ Pour **Nombre maximal de comptes simultanés**, spécifiez le nombre de comptes traités simultanément.
+ Pour **Tolérance aux défaillances**, spécifiez le nombre maximum de défaillances de compte autorisées par région. L’opération s’arrêtera et ne se poursuivra pas dans d’autres régions une fois cette limite atteinte.
+ Pour la **simultanéité des régions**, choisissez comment traiter les régions : **séquentiellement** (une région à la fois) ou en **parallèle** (plusieurs régions simultanément).
+ Pour le **mode simultané**, choisissez le comportement de la simultanéité lors de l’exécution de l’opération.
+ **Tolérance stricte aux pannes** : réduit le niveau de concurrence des comptes en cas de panne, en restant dans les limites de la **tolérance aux pannes** \$11.
+ **Tolérance aux pannes légères** : maintient le niveau de concurrence spécifié (la valeur du **nombre maximal de comptes simultanés**) indépendamment des pannes.
+ [Autorisations gérées par le service] Pour les StackSet **dépendances**, ajoutez une dépendance StackSet ARNs, en respectant un maximum de 10 dépendances. Pour de plus amples informations, veuillez consulter [Activer ou désactiver les déploiements automatiques pour StackSets dans AWS Organizations](stacksets-orgs-manage-auto-deployment.md).
1. Choisissez **Next (Suivant)** pour continuer.
1. Sur la page **Vérification**, vérifiez vos choix. Pour apporter des modifications, sélectionnez **Modifier** dans la section correspondante.
1. Lorsque vous êtes prêt à continuer, sélectionnez **Soumettre**.
CloudFormation commence à appliquer vos mises à jour à votre StackSet et affiche l'onglet **Opérations** de la page de StackSet détails. Vous pouvez afficher la progression et le statut des opérations de mise à jour dans l'onglet **Operations**.
## Mettez à jour votre StackSet (AWS CLI)
**Note**
Lorsque vous agissez en tant qu’administrateur délégué, vous devez inclure `--call-as DELEGATED_ADMIN` dans la commande.
1.
**Pour mettre à jour un StackSet**
Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-set.html)commande pour apporter des modifications à votre StackSet.
Dans les exemples suivants, nous mettons à jour l'`--parameters`option StackSet en utilisant. Plus précisément, nous modifions la fréquence de livraison par défaut des instantanés pour la configuration du canal de livraison de `TwentyFour_Hours` à `Twelve_Hours`. Comme nous utilisons toujours le modèle actuel, nous ajoutons l’option `--use-previous-template`.
Définissez le traitement simultané des comptes et les autres préférences de déploiement à l’aide de cette option `--operation-preferences`. Ces exemples utilisent des paramètres basés sur le décompte. Notez que `MaxConcurrentCount` ne doit pas dépasser `FailureToleranceCount` \$1 1. Pour les paramètres basés sur des pourcentages, utilisez `FailureTolerancePercentage` ou `MaxConcurrentPercentage` à la place.
[Autorisations autogérées] Pour `--accounts` cette option, indiquez le compte que IDs vous souhaitez cibler par votre mise à jour.
```
aws cloudformation update-stack-set --stack-set-name my-stackset \
--use-previous-template \
--parameters ParameterKey=MaximumExecutionFrequency,ParameterValue=Twelve_Hours \
--accounts account_ID_1 account_ID_2 \
--regions us-west-2 us-east-1 \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
[Autorisations gérées par le service] Pour `--deployment-targets` cette option, indiquez l'ID racine de l'organisation ou l'unité organisationnelle (UO) que IDs vous souhaitez cibler par votre mise à jour.
```
aws cloudformation update-stack-set --stack-set-name my-stackset \
--use-previous-template \
--parameters ParameterKey=MaximumExecutionFrequency,ParameterValue=Twelve_Hours \
--deployment-targets OrganizationalUnitIds=ou-rcuk-1x5j1lwo,ou-rcuk-slr5lh0a \
--regions us-west-2 us-east-1 \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
Pour plus d’informations, consultez [UpdateStackSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStackSet.html) dans la *Référence d’API AWS CloudFormation *.
1. Vérifiez que vous avez bien StackSet été mis à jour en exécutant la **describe-stack-set-operation** commande pour afficher l'état et les résultats de votre opération de mise à jour. Pour `--operation-id`, utilisez l'ID d'opération qui a été renvoyé par la commande **update-stack-set**.
```
aws cloudformation describe-stack-set-operation \
--operation-id operation_ID
```
# Ajoutez des piles à CloudFormation StackSets
Lorsque vous créez un StackSet, vous pouvez créer les piles correspondantes. StackSet CloudFormation vous permet également d'ajouter d'autres piles, pour des comptes et des régions supplémentaires, à tout moment après leur StackSet création. Vous pouvez ajouter des piles à l'aide de la CloudFormation console ou du AWS CLI.
**Topics**
+ [Ajouter des piles à une StackSet (console)](#stackinstances-create-console)
+ [Ajouter des piles à un StackSet ()AWS CLI](#stackinstances-create-cli)
## Ajouter des piles à une StackSet (console)
**Pour ajouter des piles à un StackSet**
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans la barre de navigation en haut de l'écran, choisissez le StackSet dans lequel Région AWS vous l'avez créé.
1. Dans le volet de navigation, choisissez **StackSets**. Sur la StackSets page, sélectionnez celui StackSet que vous avez créé.
1. Lorsque cette option est StackSet sélectionnée, choisissez **Ajouter des piles à** dans le StackSet menu **Actions**.
1. Sur la page **Définir les options de déploiement**, procédez comme suit :
1. Pour **Ajouter des piles à StackSet**, choisissez **Déployer de nouvelles piles**.
1. Procédez ensuite comme suit en fonction de la configuration StackSet de vos autorisations :
+ [Autorisations autogérées] Pour **Comptes**, **Emplacements de déploiement**, choisissez **Déployer des piles dans les comptes**. Collez vos numéros de compte de destination dans la zone de texte, en séparant les numéros par des virgules.
+ [Autorisations gérées par le service] Pour **Cibles de déploiement**, procédez de l’une des manières suivantes :
+ Choisissez **Déployer dans l'organisation** pour déployer sur tous les comptes de votre organisation.
+ Choisissez **Déployer vers les unités organisationnelles (OUs)** pour effectuer le déploiement sur tous les comptes en particulier OUs. Choisissez **Ajouter une autre UO**, puis collez l'ID d'unité d'organisation cible dans la zone de texte. Répétez l'opération pour chaque nouvelle unité organisationnelle cible. CloudFormation cible également n'importe quel enfant parmi OUs les cibles que vous avez sélectionnées.
**Note**
Si vous ajoutez une unité d'organisation que vous StackSet ciblez déjà, vous CloudFormation créez de nouvelles piles dans tous les comptes de l'unité d'organisation qui ne possèdent pas encore de piles StackSet (par exemple, les comptes qui ont été ajoutés à l'unité d'organisation après la création de la vôtre et dont les déploiements automatiques sont désactivés). StackSet
1. Pour **Spécifier les régions**, indiquez les Régions AWS dans lesquelles déployer les comptes cibles que vous avez spécifiés à l’étape précédente. Par défaut, déploie CloudFormation les piles dans les comptes spécifiés au sein de la première région, puis passe à la suivante, et ainsi de suite, tant que les échecs de déploiement d'une région ne dépassent pas la tolérance d'échec spécifiée.
1. Pour **Options de déploiement**, procédez comme suit :
+ Pour **Nombre maximal de comptes simultanés**, spécifiez le nombre de comptes traités simultanément.
+ Pour **Tolérance aux défaillances**, spécifiez le nombre maximum de défaillances de compte autorisées par région. L’opération s’arrêtera et ne se poursuivra pas dans d’autres régions une fois cette limite atteinte.
+ Pour la **simultanéité des régions**, choisissez comment traiter les régions : **séquentiellement** (une région à la fois) ou en **parallèle** (plusieurs régions simultanément).
+ Pour le **mode simultané**, choisissez le comportement de la simultanéité lors de l’exécution de l’opération.
+ **Tolérance stricte aux pannes** : réduit le niveau de concurrence des comptes en cas de panne, en restant dans les limites de la **tolérance aux pannes** \$11.
+ **Tolérance aux pannes légères** : maintient le niveau de concurrence spécifié (la valeur du **nombre maximal de comptes simultanés**) indépendamment des pannes.
1. Choisissez **Suivant**.
1. Sur la page **Specify Overrides (Spécifier des remplacements)**, laissez les valeurs de propriétés telles qu'indiquées. Vous ne remplacerez pas les valeurs de propriétés pour les piles que vous allez créer. Choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez vos choix. Pour apporter des modifications, sélectionnez **Modifier** dans la section correspondante.
1. Lorsque vous êtes prêt à continuer, sélectionnez **Soumettre**.
CloudFormation commence à créer vos piles. Consultez la progression et le statut de la création des piles StackSet dans votre page de StackSet détails qui s'ouvre lorsque vous choisissez **Soumettre**. Une fois terminé, vos nouvelles piles doivent être répertoriées dans l’onglet **Instances de pile**.
## Ajouter des piles à un StackSet ()AWS CLI
**Note**
Lorsque vous agissez en tant qu’administrateur délégué, vous devez inclure `--call-as DELEGATED_ADMIN` dans la commande.
**Pour ajouter des piles à un StackSet avec des autorisations autogérées**
Utilisez la commande **create-stack-instances** de l’interface de ligne de commande. Pour l'`--accounts`option, indiquez les comptes IDs pour lesquels vous souhaitez créer des piles.
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--accounts account_id --regions eu-west-1 us-west-2
```
**Pour ajouter des piles à un StackSet avec des autorisations gérées par le service**
Utilisez la commande **create-stack-instances** de l’interface de ligne de commande. Pour `--deployment-targets` cette option, indiquez l'ID de l'organisation (racine) ou l'unité d'organisation IDs pour laquelle vous souhaitez créer des piles. Pour des exemples de commandes ciblant des comptes spécifiques, consultez [Créer un StackSet avec des autorisations gérées par le service ()AWS CLI](stacksets-orgs-associate-stackset-with-org.md#stacksets-orgs-associate-stackset-with-org-cli).
```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=ou-rcuk-r1qi0wl7 --regions eu-west-1 us-west-2
```
**Note**
Si vous ajoutez une unité d'organisation que vous StackSet ciblez déjà, vous CloudFormation créez de nouvelles piles dans tous les comptes de l'unité d'organisation qui ne possèdent pas encore de piles StackSet (par exemple, les comptes qui ont été ajoutés à l'unité d'organisation après la création de la vôtre et dont les déploiements automatiques sont désactivés). StackSet
# Remplacez les valeurs des paramètres sur les piles de votre CloudFormation StackSet
Dans certains cas, vous souhaiterez peut-être que les piles de certaines régions ou de certains comptes aient des valeurs de propriété différentes de celles spécifiées dans le fichier StackSet lui-même. Par exemple, vous pourriez spécifier une autre valeur pour un paramètre donné selon l'objectif de développement ou de production d'un compte. Dans ces situations, vous CloudFormation permet de remplacer les valeurs des paramètres dans les piles par compte et par région. Vous pouvez remplacer les valeurs des paramètres du modèle lors de la création initiale des piles, et vous pouvez remplacer les valeurs des paramètres pour les piles existantes. Vous pouvez uniquement rétablir les paramètres que vous avez précédemment remplacés dans les piles aux valeurs spécifiées dans le. StackSet
Les remplacements de valeurs de paramètres s’appliquent aux piles dans les comptes et les régions que vous sélectionnez. Pendant les StackSet mises à jour, les valeurs de paramètres remplacées pour une pile ne sont pas mises à jour, mais conservent leur valeur remplacée.
Vous ne pouvez remplacer que *les valeurs des* paramètres spécifiées dans le StackSet ; pour ajouter ou supprimer un paramètre lui-même, vous devez mettre à jour le StackSet modèle. Si vous ajoutez un paramètre à un StackSet modèle, avant de pouvoir remplacer cette valeur de paramètre dans une pile, vous devez d'abord mettre à jour toutes les piles avec le nouveau paramètre et la nouvelle valeur spécifiés dans le. StackSet Une fois que toutes les piles ont été mises à jour avec le nouveau paramètre, vous pouvez alors remplacer la valeur du paramètre dans les piles individuelles comme vous le souhaitez.
Pour savoir comment remplacer les valeurs des StackSet paramètres lorsque vous créez des piles, consultez. [Ajoutez des piles à StackSets](stackinstances-create.md)
**Topics**
+ [Remplacer les paramètres sur les piles (console)](#stackinstances-override-console)
+ [Remplacer les paramètres sur les piles (AWS CLI)](#stackinstances-override-cli)
## Remplacer les paramètres sur les piles (console)
**Pour remplacer les paramètres de piles spécifiques**
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans la barre de navigation en haut de l'écran, choisissez le StackSet dans lequel Région AWS vous l'avez créé.
1. Dans le volet de navigation, choisissez **StackSets**. Sur la StackSets page, sélectionnez votre StackSet.
1. Lorsque cette StackSet option est sélectionnée, choisissez **Remplacer StackSet les paramètres** dans le menu **Actions**.
1. Sur la page **Options de déploiement**, indiquez les comptes et les régions pour les piles pour lesquelles vous allez créer des remplacements.
Par défaut, déploie CloudFormation les piles dans les comptes spécifiés au sein de la première région, puis passe à la suivante, et ainsi de suite, à condition que les échecs de déploiement d'une région ne dépassent pas la tolérance d'échec spécifiée.
1. [Autorisations autogérées] Pour les **Emplacements de déploiement**, choisissez **Déployer les piles dans les comptes**. Collez une partie ou la totalité du compte cible IDs que vous avez utilisé pour créer votre StackSet.
[Autorisations gérées par le service] Effectuez l’une des méthodes suivantes :
+ Choisissez **Déployer vers les unités organisationnelles (OUs)**. Entrez une ou plusieurs cibles OUs que vous avez utilisées pour créer votre StackSet. Les valeurs des paramètres remplacées ne s'appliquent qu'aux comptes qui se trouvent actuellement dans la cible OUs et à leur enfant. OUs Les comptes ajoutés à la cible OUs et à son enfant OUs à l'avenir utiliseront les valeurs StackSet par défaut et non les valeurs remplacées.
+ Choisissez **Déployer sur les comptes**. Collez une partie ou la totalité de l'unité d' IDs organisation ou du compte cible IDs que vous avez utilisé pour créer votre StackSet.
1. Pour **Spécifier les régions**, ajoutez une ou plusieurs des régions dans lesquelles vous avez déployé des piles à cet StackSet effet.
Si vous ajoutez plusieurs régions, l'ordre des régions sous **Specify regions (Spécifier des régions)** détermine l'ordre de leur déploiement.
1. Pour **Options de déploiement**, procédez comme suit :
+ Pour **Nombre maximal de comptes simultanés**, spécifiez le nombre de comptes traités simultanément.
+ Pour **Tolérance aux défaillances**, spécifiez le nombre maximum de défaillances de compte autorisées par région. L’opération s’arrêtera et ne se poursuivra pas dans d’autres régions une fois cette limite atteinte.
+ Pour la **simultanéité des régions**, choisissez comment traiter les régions : **séquentiellement** (une région à la fois) ou en **parallèle** (plusieurs régions simultanément).
+ Pour le **mode simultané**, choisissez le comportement de la simultanéité lors de l’exécution de l’opération.
+ **Tolérance stricte aux pannes** : réduit le niveau de concurrence des comptes en cas de panne, en restant dans les limites de la **tolérance aux pannes** \$11.
+ **Tolérance aux pannes légères** : maintient le niveau de concurrence spécifié (la valeur du **nombre maximal de comptes simultanés**) indépendamment des pannes.
1. Choisissez **Suivant**.
1. Sur la page **Spécifier les remplacements**, cochez les cases correspondant aux paramètres à remplacer, puis choisissez **Remplacer la valeur dans le menu **Modifier** la StackSet valeur** de remplacement.
1. Sur la page **Remplacer les valeurs des StackSet paramètres**, apportez vos modifications, puis choisissez **Enregistrer les modifications**.
**Note**
Pour rétablir les paramètres remplacés en utilisant la valeur spécifiée dans le StackSet, vérifiez tous les paramètres et choisissez **Définir sur la valeur dans le menu Modifier la StackSet valeur** **de remplacement.** Cela supprime toutes les valeurs remplacées une fois que vous avez mis à jour les piles.
1. Sur la page **Vérification**, vérifiez vos choix. Pour apporter des modifications, sélectionnez **Modifier** dans la section correspondante.
1. Lorsque vous êtes prêt à continuer, sélectionnez **Soumettre**.
CloudFormation commence à mettre à jour vos piles. Consultez la progression et le statut des piles sur la page de StackSet détails qui s'ouvre lorsque vous choisissez **Soumettre**.
## Remplacer les paramètres sur les piles (AWS CLI)
**Note**
Lorsque vous agissez en tant qu’administrateur délégué, vous devez inclure `--call-as DELEGATED_ADMIN` dans la commande.
**Pour remplacer les paramètres de piles spécifiques**
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-instances.html) AWS CLI commande et spécifiez l'`--parameter-overrides`option.
[Autorisations autogérées] Pour `--accounts` cette option, indiquez le compte IDs pour lequel vous souhaitez remplacer les valeurs des paramètres sur les piles.
```
aws cloudformation update-stack-instances --stack-set-name my-stackset \
--parameter-overrides ParameterKey=Subnets,ParameterValue=subnet-1baa3351\\,subnet-27b86940 \
--accounts account_id --regions us-east-1
```
[Autorisations gérées par le service] Pour `--deployment-targets` cette option, indiquez l'ID racine de l'organisation, l'unité d'organisation ou le AWS Organizations compte IDs pour lequel vous souhaitez remplacer les paramètres sur les piles. IDs Dans cet exemple, nous remplaçons les valeurs des paramètres pour les piles dans tous les comptes de l’UO avec l’ID `ou-rcuk-1x5j1lwo`.
Les valeurs des paramètres remplacées s'appliquent uniquement aux comptes qui se trouvent actuellement dans l'unité d'organisation cible et à son enfant. OUs Les comptes ajoutés à l'unité d'organisation cible et OUs à son enfant à l'avenir utiliseront les valeurs StackSet par défaut et non les valeurs remplacées.
```
aws cloudformation update-stack-instances --stack-set-name my-stackset \
--parameter-overrides ParameterKey=Subnets,ParameterValue=subnet-1baa3351\\,subnet-27b86940 \
--deployment-targets OrganizationalUnitIds=ou-rcuk-1x5j1lwo \
--regions us-east-1
```
1. Vérifiez que vos valeurs de paramètres ont été remplacées avec succès sur les piles en exécutant la commande **describe-stack-set-operation** pour afficher l’état et les résultats de votre opération de mise à jour. Pour `--operation-id`, utilisez l'ID d'opération qui a été renvoyé par la commande **update-stack-instances**.
```
aws cloudformation describe-stack-set-operation --operation-id operation_ID
```
# Supprimer des piles de CloudFormation StackSets
Vous pouvez supprimer des piles à StackSets l'aide de la CloudFormation console ou du AWS CLI.
**Topics**
+ [Supprimer des piles de votre StackSet (console)](#stackinstances-delete-console)
+ [Supprimer les piles de votre StackSet ()AWS CLI](#stackinstances-delete-cli)
**Note**
La suppression de piles dans une unité organisationnelle (UO) de niveau supérieur entraîne la suppression de cette UO en tant StackSet que cible.
## Supprimer des piles de votre StackSet (console)
**Pour supprimer les piles**
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans la barre de navigation en haut de l'écran, choisissez le StackSet dans lequel Région AWS vous l'avez créé.
1. Dans le volet de navigation, choisissez **StackSets**. Sur la StackSets page, sélectionnez le StackSet.
1. Lorsque vous StackSet êtes sélectionné, choisissez **Supprimer les piles dans le StackSet menu** **Actions**.
1. Sur la page **Options de déploiement du set**, sélectionnez d’abord les comptes et les régions dans lesquels vous souhaitez supprimer les piles.
1. [Autorisations autogérées] Pour **Comptes**, choisissez **Déployer des piles dans les comptes** ou **Déployer des piles dans les unités organisationnelles**.
Si vous choisissez **Déployer les piles dans les comptes**, collez vos numéros de compte cibles dans la zone de texte **Numéros de compte**, en séparant les numéros multiples par des virgules.
Si vous choisissez **Déployer les piles dans les unités organisationnelles**, collez un ID d’unité organisationnelle cible dans la zone de texte **Numéros d’organisation** pour cibler tous les comptes qui font partie de l’organisation spécifiée.
1. [Autorisations gérées par le service] Pour les **unités organisationnelles (OUs)**, spécifiez l'unité d'organisation cible. IDs
**Important**
CloudFormation supprimera les piles de la cible spécifiée OUs et de son enfant OUs.
Pour le **type de filtre Compte**, vous pouvez affiner les comptes dont les piles seront supprimées en choisissant l’une des options suivantes et en fournissant les numéros de compte.
+ **Aucun** (par défaut) — Supprime les piles de tous les comptes spécifiés OUs.
+ **Intersection** — Supprime les piles uniquement à partir de comptes individuels spécifiques au sein des comptes sélectionnés OUs.
+ **Différence** — Supprime les piles de tous les comptes sélectionnés, à l' OUs exception de comptes spécifiques.
+ **Union** — Supprime les piles des comptes individuels spécifiés OUs ainsi que des comptes individuels supplémentaires.
1. Pour **Spécifier les régions**, sélectionnez les régions dans lesquelles vous souhaitez supprimer des piles au sein des comptes cibles.
1. Pour **Options de déploiement**, procédez comme suit :
+ Pour **Nombre maximal de comptes simultanés**, spécifiez le nombre de comptes traités simultanément.
+ Pour **Tolérance aux défaillances**, spécifiez le nombre maximum de défaillances de compte autorisées par région. L’opération s’arrêtera et ne se poursuivra pas dans d’autres régions une fois cette limite atteinte.
+ Pour **conserver les piles**, activez cette option pour enregistrer les piles et leurs ressources associées lorsque vous les supprimez de votre. StackSet Les ressources restent dans leur état actuel mais n'en font plus partie StackSet.
+ Pour la **simultanéité des régions**, choisissez comment traiter les régions : **séquentiellement** (une région à la fois) ou en **parallèle** (plusieurs régions simultanément).
+ Pour le **mode simultané**, choisissez le comportement de la simultanéité lors de l’exécution de l’opération.
+ **Tolérance stricte aux pannes** : réduit le niveau de concurrence des comptes en cas de panne, en restant dans les limites de la **tolérance aux pannes** \$11.
+ **Tolérance aux pannes légères** : maintient le niveau de concurrence spécifié (la valeur du **nombre maximal de comptes simultanés**) indépendamment des pannes.
1. Choisissez **Suivant**.
1. Sur la page **Vérification**, vérifiez vos choix. Pour apporter des modifications, sélectionnez **Modifier** dans la section correspondante.
1. Lorsque vous êtes prêt à retirer les piles de votre ordinateur StackSet, choisissez **Soumettre**.
Une fois la suppression des piles terminée, vous pouvez vérifier que les piles ont été supprimées de votre compte StackSet dans la page StackSet détaillée, dans l'onglet **Stack instances**.
## Supprimer les piles de votre StackSet ()AWS CLI
**Note**
Lorsque vous agissez en tant qu’administrateur délégué, vous devez inclure `--call-as DELEGATED_ADMIN` dans la commande.
Utilisez la **delete-stack-instances** commande avec votre StackSet nom.
Dans ces exemples, nous utilisons l’option `--no-retain-stacks` car nous ne conservons pas de piles. Utilisez `--retain-stacks` à la place de `--no-retain-stacks` si vous souhaitez conserver les piles et leurs ressources.
Pour`--regions`, spécifiez le dont Régions AWS vous souhaitez supprimer les piles, par exemple, `us-west-2` et`us-east-1`.
Définissez le traitement simultané des comptes et les autres préférences à l’aide de cette option `--operation-preferences`. Ces exemples utilisent des paramètres basés sur le décompte. Notez que `MaxConcurrentCount` ne doit pas dépasser `FailureToleranceCount` \$1 1. Pour les paramètres basés sur des pourcentages, utilisez `FailureTolerancePercentage` ou `MaxConcurrentPercentage` à la place.
**Pour supprimer des piles (autorisations autogérées)**
Pour `--accounts` cette option, spécifiez IDs le compte dont vous souhaitez supprimer les piles.
```
aws cloudformation delete-stack-instances --stack-set-name my-stackset \
--accounts account_ID_1 account_ID_2 \
--regions us-west-2 us-east-1 \
--no-retain-stacks \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
**Pour supprimer des piles (autorisations gérées par le service)**
Pour`--deployment-targets`, spécifiez l'ID racine de l'organisation ou l'unité organisationnelle (UO) IDs dont vous souhaitez supprimer les piles.
**Important**
CloudFormation supprimera les piles de la cible spécifiée OUs et de son enfant OUs.
```
aws cloudformation delete-stack-instances --stack-set-name my-stackset \
--deployment-targets OrganizationalUnitIds=ou-rcuk-1x5jlwo,ou-rcuk-slr5lh0a \
--regions us-west-2 us-east-1 \
--no-retain-stacks \
--operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
```
Pour plus d’informations, consultez [DeleteStackInstances](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStackInstances.html) dans la *Référence d’API AWS CloudFormation *.
Facultativement, une fois la suppression des piles terminée, vérifiez que les piles ont été supprimées de votre StackSet compte en exécutant la **describe-stack-set-operation** commande pour afficher le statut et les résultats de l'opération de suppression des piles. Pour `--operation-id`, utilisez l'ID d'opération qui a été renvoyé par la commande **delete-stack-instances**.
```
aws cloudformation describe-stack-set-operation --stack-set-name my-stackset \
--operation-id ddf16f54-ad62-4d9b-b0ab-3ed8e9example
```
# Supprimer CloudFormation StackSets
Pour supprimer un StackSet, vous devez d'abord supprimer toutes les piles du StackSet. Pour plus d’informations sur la manière de supprimer toutes les piles, consultez [Supprimer des piles de StackSets](stackinstances-delete.md).
**Topics**
+ [Supprimer une StackSet (console)](#stacksets-delete-set)
+ [Supprimer un StackSet (AWS CLI)](#stacksets-delete-set-cli)
+ [Supprimer les rôles de service (facultatif)](#stacksets-delete-roles)
## Supprimer une StackSet (console)
**Pour supprimer un StackSet**
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans la barre de navigation en haut de l'écran, choisissez le StackSet dans lequel Région AWS vous l'avez créé.
1. Sur la **StackSets**page, sélectionnez le StackSet.
1. Lorsque cette option est StackSet sélectionnée, choisissez **Supprimer** dans le StackSet menu **Actions**.
1. Lorsque vous êtes invité à confirmer que vous souhaitez supprimer le StackSet, choisissez **Supprimer StackSet**.
## Supprimer un StackSet (AWS CLI)
**Note**
Lorsque vous agissez en tant qu’administrateur délégué, vous devez inclure `--call-as DELEGATED_ADMIN` dans la commande.
**Pour supprimer un StackSet**
1. Utilisez la commande **delete-stack-set** suivante. Lorsque vous êtes invité à confirmer, tapez **y**, puis appuyez sur **Entrée**.
```
aws cloudformation delete-stack-set --stack-set-name my-stackset
```
1. Vérifiez que le StackSet a été supprimé en exécutant la **list-stack-sets** commande. Les résultats de la list-stack-sets commande devraient afficher votre pile avec un statut de`DELETED`.
```
aws cloudformation list-stack-sets
```
## Supprimer les rôles de service (facultatif)
Si vous n'avez plus besoin des rôles de service IAM nécessaires pour effectuer StackSet des opérations, nous vous recommandons de supprimer les rôles. CloudFormation
*Pour l'autogestion StackSets*, les rôles que vous avez créés. Pour plus d’informations sur ces rôles, consultez [Accorder des autorisations autogérées](stacksets-prereqs-self-managed.md).
*Pour les rôles gérés par des services StackSets*, les rôles créés automatiquement StackSets ont le suffixe `CloudFormationStackSetsOrgAdmin` dans le compte de gestion de l'organisation et `CloudFormationStackSetsOrgMember` dans chaque compte cible. Pour de plus amples informations, veuillez consulter [Rôles liés à un service](stacksets-orgs-activate-trusted-access.md#stacksets-orgs-service-linked-roles).
**Pour supprimer un rôle de service (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Rôles**, puis cochez la case en regard du rôle à supprimer.
1. Dans le menu **Actions du rôle** en haut de la page, choisissez **Supprimer le rôle**.
1. Dans la boîte de dialogue de confirmation, choisissez **Yes, Delete** (Oui, supprimer). Si vous êtes sûr, procédez à la suppression même si les dernières données consultées dans le service sont toujours en cours de chargement.
**Pour supprimer un rôle de service (AWS CLI)**
+ Utilisez la commande **delete-role** suivante. Lorsque vous êtes invité à confirmer, tapez **y**, puis appuyez sur Enter.
```
aws iam delete-role --role-name role name
```
Pour plus d’informations sur la suppression des rôles, consultez la section [Supprimer des rôles ou des profils d’instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dans le *Guide de l’utilisateur IAM*.
# Empêcher les StackSets déploiements échoués à l'aide des portes de compte cible
Une porte de compte est une fonctionnalité optionnelle qui vous permet de vérifier qu'un compte cible répond à certaines exigences avant de CloudFormation commencer StackSets les opérations sur ce compte. Cette vérification est effectuée par le biais d'une AWS Lambda fonction qui fait office de vérification préalable.
Un exemple courant de portail de compte consiste à vérifier qu'aucune CloudWatch alarme n'est active ou non résolue sur le compte cible. CloudFormation invoque la fonction Lambda chaque fois que vous lancez des opérations de stack dans le compte cible, et ne continue que si la fonction renvoie `SUCCEEDED` un code. Si la fonction Lambda renvoie un statut de`FAILED`, CloudFormation elle ne poursuit pas l'opération demandée. Si aucune fonction Lambda de blocage de compte n'est configurée CloudFormation , ignore la vérification et poursuit l'opération.
Si votre compte de destination échoue à une vérification du portail de compte, l’opération qui a échoué est prise en compte dans le nombre ou le pourcentage de piles spécifié dans la tolérance aux pannes. Pour plus d'informations sur la tolérance aux pannes, consultez [StackSet options de fonctionnement](stacksets-concepts.md#stackset-ops-options).
Le blocage des comptes n'est disponible que pour les StackSets opérations. Cette fonctionnalité n'est pas disponible pour d'autres CloudFormation opérations en dehors de StackSets.
## Exigences
Les exigences suivantes doivent être satisfaites pour la fermeture d’un compte :
+ Votre fonction Lambda doit être nommée `AWSCloudFormationStackSetAccountGate` pour utiliser cette fonctionnalité.
+ Ils **AWSCloudFormationStackSetExecutionRole**doivent avoir les autorisations nécessaires pour appeler votre fonction Lambda. Sans ces autorisations, il CloudFormation ignorera la vérification du compte et procédera aux opérations de stack.
+ Pour que la consignation de compte fonctionne, l'autorisation Lambda `InvokeFunction` doit être ajoutée aux comptes de destination. La politique d'approbation du compte de destination doit avoir une relation d'approbation avec le compte d'administrateur. Voici un exemple de déclaration de politique qui accorde des autorisations Lambda `InvokeFunction`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "*"
}
]
}
```
------
## CloudFormation modèles pour créer des fonctions Lambda
Utilisez les exemples de modèles suivants pour créer des fonctions `AWSCloudFormationStackSetAccountGate` Lambda. Pour créer une pile à l’aide de l’un de ces modèles, consultez [Création d'une pile depuis la CloudFormation console](cfn-console-create-stack.md).
| Emplacement du modèle | Description |
| --- | --- |
| [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateSucceeded.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateSucceeded.yml) | Crée une pile qui implémente une fonction de consignation de compte Lambda qui renvoie le statut `SUCCEEDED`. |
| [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateFailed.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateFailed.yml) | Crée une pile qui implémente une fonction de consignation de compte Lambda qui renvoie le statut `FAILED`. |
# Choisissez le mode de simultanéité pour CloudFormation StackSets
Le **mode de simultanéité** est un paramètre [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_StackSetOperationPreferences.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_StackSetOperationPreferences.html)qui vous permet de choisir le comportement du niveau de simultanéité pendant les opérations. StackSet Vous pouvez choisir parmi les modes suivants :
+ **Tolérance stricte aux pannes** : cette option réduit dynamiquement le niveau de simultanéité afin de garantir que le nombre de comptes défaillants ne dépasse jamais la valeur de **Tolérance aux pannes** \$1 1. La simultanéité réelle initiale est définie sur la valeur la plus basse entre la valeur du **Nombre maximal de comptes en parallèle**, ou la valeur de **Tolérance aux pannes** \$1 1. La simultanéité réelle est ensuite réduite proportionnellement au nombre de défaillances. Il s’agit du comportement de par défaut.
+ **Tolérance souple aux pannes** : cette option dissocie la **Tolérance aux pannes** de la simultanéité réelle. Cela permet aux StackSet opérations de s'exécuter au niveau de simultanéité défini par la valeur **Maximum de comptes simultanés**, quel que soit le nombre d'échecs.
La **tolérance stricte aux défaillances** réduit la vitesse de déploiement en cas StackSet d'échec des opérations, car la simultanéité diminue à chaque échec. **Soft Failure Tolerance donne la** priorité à la vitesse de déploiement tout en tirant parti des capacités CloudFormation de sécurité. Cela vous permet d'examiner et de résoudre les défaillances StackSet opérationnelles pour les problèmes courants tels que ceux liés aux ressources existantes, aux quotas de service et aux autorisations.
Pour plus d'informations sur les échecs des opérations de StackSets pile, consultez[Raisons les plus courantes de l’échec de l’opération de pile](stacksets-troubleshooting.md#common-reasons-for-stack-operation-failure).
Pour plus d'informations sur le **Nombre maximal de comptes en parallèle** et la **Tolérance aux pannes**, consultez [StackSet options de fonctionnement](stacksets-concepts.md#stackset-ops-options).
## Fonctionnement de chaque mode simultané
Les images ci-dessous fournissent une représentation visuelle du fonctionnement de chaque **mode de simultanéité** au cours d'une StackSet opération. La chaîne de nœuds représente un déploiement vers un seul Région AWS et chaque nœud est une cible Compte AWS.
**Tolérance stricte aux pannes**
Lorsqu'une StackSet opération utilisant la **tolérance d'échec stricte** a une valeur de **tolérance d'échec** définie sur 5 et que la valeur **maximale de comptes simultanés** est définie sur 10, la simultanéité réelle est de 6. La simultanéité réelle est de 6, car cette valeur de **Tolérance aux pannes** de 5 \$1 1 est inférieure à la valeur du **Nombre maximal de comptes en parallèle**.
L'image suivante montre l'impact de la valeur de **tolérance aux défaillances** sur la valeur **maximale des comptes simultanés**, ainsi que l'impact de ces deux valeurs sur la simultanéité réelle de l' StackSet opération :
![\[Une StackSet opération utilisant une tolérance de défaillance stricte. La tolérance aux pannes est définie sur 5, le nombre maximum de comptes simultanés est de 10, et la simultanéité réelle est de 6.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/concurrency-strict-failure-tolerance-1.png)
Lorsque le déploiement commence et que des instances de pile sont défaillantes, la simultanéité réelle est réduite pour garantir une expérience de déploiement sûre. La simultanéité réelle passe de 6 à 5 en cas d' StackSets échec du déploiement d'une instance de pile.
![\[L' StackSet opération utilisant Strict Failure Tolerance comporte 2 déploiements réussis et 1 échec.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/concurrency-strict-failure-tolerance-2.png)
![\[L' StackSet opération utilisant Strict Failure Tolerance a réduit la simultanéité réelle à 5 maintenant qu'il y a un échec.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/concurrency-strict-failure-tolerance-3.png)
Le mode **Tolérance stricte aux pannes** réduit la simultanéité réelle proportionnellement au nombre d’instances de pile défaillantes. Dans l'exemple suivant, la simultanéité réelle passe de 5 à 3 en cas d' StackSets échec du déploiement de 2 instances de pile supplémentaires, portant le total des instances de pile défaillantes à 3.
![\[L' StackSet opération utilisant Strict Failure Tolerance comporte désormais 3 déploiements échoués. La simultanéité a été réduite à 3.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/concurrency-strict-failure-tolerance-4.png)
StackSets échoue lorsque le StackSet nombre d'instances de pile défaillantes est égal à la valeur définie de **Tolérance de défaillance** \$11. Dans l'exemple suivant, l'opération StackSets échoue lorsqu'il y a 6 instances de pile défaillantes et que la valeur de **tolérance de défaillance** est de 5.
![\[L' StackSet opération utilisant Strict Failure Tolerance compte désormais 6 déploiements échoués. L' StackSet opération échoue.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/concurrency-strict-failure-tolerance-5.png)
Dans cet exemple, 9 instances de stack CloudFormation ont été déployées (3 ont réussi et 6 ont échoué) avant d'arrêter l' StackSet opération.
**Tolérance souple aux pannes**
Lorsque la valeur de **tolérance d'échec d'une StackSet opération utilisant Soft** **Failure** Tolerance est définie sur 5 et que la valeur **maximale de comptes simultanés** est définie sur 10, la simultanéité réelle est de 10.
![\[Une StackSet opération avec Soft Failure Tolerance. La tolérance aux pannes est de 5 ; les comptes simultanés maximum et la simultanéité réelle sont de 10.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/concurrency-soft-failure-tolerance-1.png)
Lorsque le déploiement commence et que des instances de pile sont défaillantes, la simultanéité réelle ne change pas. Dans l’exemple suivant, une opération de pile est défaillante, mais la simultanéité réelle reste de 10.
![\[L' StackSet opération avec Soft Failure Tolerance rencontre le premier échec. La simultanéité réelle demeure à 10.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/concurrency-soft-failure-tolerance-2.png)
La simultanéité réelle reste de 10 même après deux défaillances d’instances de pile supplémentaires.
![\[L' StackSet opération avec Soft Failure Tolerance compte désormais 2 réussites et 3 échecs, mais la simultanéité réelle est toujours de 10.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/concurrency-soft-failure-tolerance-3.png)
StackSets échoue lorsque les StackSet instances de pile défaillantes dépassent la valeur de **tolérance de défaillance**. Dans l'exemple suivant, l'opération StackSets échoue lorsqu'il y a 6 instances de pile défaillantes et que le nombre de **tolérances d'échec** est de 5. Toutefois, l'opération ne se terminera pas tant que les autres opérations de la file d'attente de simultanéité ne seront pas terminées.
![\[L' StackSet opération avec Soft Failure Tolerance atteint 6 échoue, mais elle doit terminer ce qui reste dans la file d'attente de simultanéité.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/concurrency-soft-failure-tolerance-4.png)
StackSets continue de déployer des instances de pile qui se trouvent déjà dans la file d'attente de simultanéité. Cela signifie que le nombre d’instances de piles défaillantes peut être supérieur à la **Tolérance aux pannes**. Dans l'exemple suivant, 8 instances de pile ont échoué car la file d'attente de simultanéité avait encore 7 opérations à effectuer, même si l' StackSet opération avait atteint la **tolérance d'échec** de 5.
![\[L' StackSet opération compte 8 échecs au total, car il restait 7 déploiements dans la file d'attente après avoir atteint le seuil d'échec.\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/images/concurrency-soft-failure-tolerance-5.png)
Dans cet exemple, 15 instances de pile StackSets ont été déployées (7 ont réussi et 8 ont échoué) avant d'arrêter l'opération de pile.
## Sélection de la tolérance stricte aux pannes et de la tolérance souple aux pannes en fonction de la vitesse de déploiement
Le choix entre les modes de **tolérance de défaillance stricte** **et de tolérance de défaillance souple** dépend de la vitesse préférée de votre StackSet déploiement et du nombre autorisé d'échecs de déploiement.
Les tableaux suivants montrent comment chaque mode de simultanéité gère une StackSet opération qui échoue lors d'une tentative de déploiement de 1 000 instances de pile au total. Dans chaque scénario, la valeur de **tolérance aux pannes** est fixée à 100 instances de pile et la valeur du **Nombre maximal de comptes en parallèle** est fixée à 250 instances de pile.
Bien que les files d'attente soient StackSets en fait des comptes sous forme de fenêtre coulissante (voir[Fonctionnement de chaque mode simultané](#concurrency-mode-example)), cet exemple montre le fonctionnement par lots pour démontrer la rapidité de chaque mode.
### Tolérance stricte aux pannes
Cet exemple d'utilisation du mode de **Tolérance stricte aux pannes** réduit la simultanéité réelle par rapport au nombre de défaillances survenues dans chaque lot précédent. Chaque lot comporte 20 instances défaillantes, ce qui réduit la simultanéité réelle du lot suivant de 20 jusqu'à ce que l' StackSet opération atteigne la valeur de **tolérance d'échec** de 100.
Dans le tableau suivant, la simultanéité initiale réelle du premier lot est de 101 instances de pile. La simultanéité réelle est de 101, car il s'agit de la valeur inférieure du **Nombre maximal de comptes en parallèle** (250) ou de la **Tolérance aux pannes** (100) \$1 1. Chaque lot contient 20 déploiements d’instances de pile défaillants, ce qui réduit ensuite la simultanéité réelle de chaque lot suivant de 20 instances de pile.
| **Tolérance stricte aux pannes** | **Lot 1** | **Lot 2** | **Lot 3** | **Lot 4** | **Lot 5** | **Lot 6** |
| --- | --- | --- | --- | --- | --- | --- |
| Nombre réel de simultanéités | 101 | 81 | 61 | 41 | 21 | - |
| Nombre d'instances défaillantes | 20 | 20 | 20 | 20 | 20 | - |
| Nombre d’instances de piles réussies | 81 | 61 | 41 | 21 | 1 | - |
L'opération utilisant la **tolérance de défaillance stricte** a permis d'effectuer 305 déploiements d'instances de pile en 5 lots au moment où l' StackSet opération a atteint la **tolérance d'échec** de 100 instances de pile. L' StackSet opération déploie avec succès 205 instances de pile avant d'échouer.
### Tolérance souple aux pannes
Cet exemple d’utilisation du mode de **Tolérance souple aux pannes** maintient le même nombre de simultanéités réelles définies par la valeur **Nombre maximal de comptes en parallèle** de 250 instances de pile, quel que soit le nombre d’instances défaillantes. Les StackSet opérations conservent la même simultanéité réelle jusqu'à ce qu'elle atteigne la valeur de **tolérance de défaillance** de 100 instances.
Dans le tableau suivant, la simultanéité initiale réelle du premier lot est de 250 instances de pile. La simultanéité réelle est de 250 car la valeur **maximale des comptes simultanés** est définie sur 250 et le mode de **tolérance de défaillance souple** StackSets permet d'utiliser cette valeur comme simultanéité réelle, quel que soit le nombre de défaillances. Même s'il y a 50 défaillances dans chacun des lots pour cet exemple, la simultanéité réelle demeure inchangée.
| **Tolérance souple aux pannes** | **Lot 1** | **Lot 2** | **Lot 3** | **Lot 4** | **Lot 5** | **Lot 6** |
| --- | --- | --- | --- | --- | --- | --- |
| Nombre réel de simultanéités | 250 | 250 | - | - | - | - |
| Nombre d'instances défaillantes | 50 | 50 | - | - | - | - |
| Nombre d’instances de piles réussies | 200 | 200 | - | - | - | - |
En utilisant la même valeur **Nombre maximal de comptes en parallèle** et la même valeur de **Tolérance aux pannes**, l’opération utilisant le mode de **Tolérance souple aux pannes** a permis de réaliser 500 déploiements d’instances de pile en 2 lots. L' StackSet opération déploie avec succès 400 instances de pile avant d'échouer.
## Choix du mode simultané (console)
Lors de la création ou de la mise à jour d'un StackSet, sur la page **Définir les options de déploiement**, pour le **mode simultané**, choisissez Tolérance de **défaillance stricte ou Tolérance** de **défaillance souple**.
## Choix du mode simultané (AWS CLI)
Vous pouvez utiliser le `ConcurrencyMode` paramètre avec les StackSets commandes suivantes :
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/delete-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/delete-stack-instances.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/detect-stack-set-drift.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/detect-stack-set-drift.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/import-stacks-to-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/import-stacks-to-stack-set.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-instances.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/update-stack-set.html)
Ces commandes contiennent un paramètre existant appelé `--operation-preferences` qui peut utiliser le paramètre `ConcurrencyMode`. `ConcurrencyMode` peut être défini sur l'une des valeurs suivantes :
+ `STRICT_FAILURE_TOLERANCE`
+ `SOFT_FAILURE_TOLERANCE`
L’exemple suivant crée une instance de pile utilisant le `ConcurrencyMode` `STRICT_FAILURE_TOLERANCE`, avec un `FailureToleranceCount` défini sur 10 et un `MaxConcurrentCount` défini sur 5.
```
aws cloudformation create-stack-instances \
--stack-set-name example-stackset \
--accounts 123456789012 \
--regions eu-west-1 \
--operation-preferences ConcurrencyMode=STRICT_FAILURE_TOLERANCE,FailureToleranceCount=10,MaxConcurrentCount=5
```
**Note**
Pour connaître les procédures détaillées relatives à la création et à la mise à jour d'un StackSet, consultez les rubriques suivantes :
[Créer StackSets (autorisations autogérées)](stacksets-getting-started-create-self-managed.md)
[Créer StackSets (autorisations gérées par le service)](stacksets-orgs-associate-stackset-with-org.md)
[Mettre à jour StackSets](stacksets-update.md)
# Exécution d'une détection de dérive sur CloudFormation StackSets
Même si vous gérez vos piles et les ressources qu'elles contiennent CloudFormation, les utilisateurs peuvent modifier ces ressources en dehors de CloudFormation. Les utilisateurs peuvent modifier une ressource directement en utilisant le service sous-jacent qui a créé la ressource. En effectuant une détection de dérive sur un StackSet, vous pouvez déterminer si l'une des instances de la pile appartenant à celui-ci StackSet diffère ou a *dérivé* de la configuration attendue.
**Topics**
+ [Comment CloudFormation effectue la détection de la dérive sur un StackSet](#stacksets-drift-how)
+ [Détecter la dérive sur une StackSet (console)](#stacksets-drift-console-procedure)
+ [Détecter la dérive sur un StackSet (AWS CLI)](#stacksets-drift-cli-procedure)
+ [Arrêter la détection de dérive sur un StackSet](#stacksets-drift-stop)
## Comment CloudFormation effectue la détection de la dérive sur un StackSet
Lorsqu'il CloudFormation effectue une détection de dérive sur un StackSet, il effectue une détection de dérive sur la pile associée à chaque instance de pile du StackSet. Pour ce faire, CloudFormation compare l'état actuel de chaque ressource de la pile avec l'état attendu de cette ressource, tel que défini dans le modèle de la pile et tous les paramètres d'entrée spécifiés. Si l'état actuel d'une ressource diffère de l'état attendu, cette ressource est considérée comme présentant un écart. Si une ou plusieurs ressources d’une pile présentent un écart, alors la pile elle-même est considérée comme présentant un écart, et les instances de pile auxquelles la pile est associée sont également considérées comme présentant un écart. Si une ou plusieurs instances d'une pile StackSet ont dérivé, l'instance StackSet elle-même est considérée comme ayant dérivé.
La détection des dérives identifie les modifications non gérées, c'est-à-dire les modifications apportées aux piles situées en dehors de. CloudFormation Les modifications apportées directement CloudFormation à une pile, plutôt qu'au StackSet niveau, ne sont pas considérées comme de la dérive. Supposons, par exemple, que vous ayez une pile associée à une instance de pile de StackSet a. Si vous avez l' CloudFormation habitude de mettre à jour cette pile pour utiliser un modèle différent, cela n'est pas considéré comme une dérive, même si cette pile possède désormais un modèle différent de celui de toutes les autres piles appartenant au StackSet. En effet, la pile correspond toujours à la configuration de modèle et de paramètre attendue dans CloudFormation.
Pour des informations détaillées sur la manière dont CloudFormation la détection de la dérive sur une pile est effectuée, voir[Détectez les modifications de configuration non gérées apportées aux piles et aux ressources grâce à la détection des écarts](using-cfn-stack-drift.md).
Comme il CloudFormation effectue une détection de dérive sur chaque pile individuellement, il prend en compte toutes les valeurs de paramètres remplacées pour déterminer si une pile a dérivé. Pour de plus amples informations sur le remplacement des paramètres de modèle dans les instances de pile, veuillez consulter [Remplacez les valeurs des paramètres sur les piles de votre CloudFormation StackSet](stackinstances-override.md).
Si vous effectuez une détection de dérive [directement sur une pile](using-cfn-stack-drift.md) associée à une instance de pile, ces résultats de dérive ne sont pas disponibles sur la page de **StackSets**console.
## Détecter la dérive sur une StackSet (console)
**Pour détecter une dérive sur un StackSet**
1. Ouvrez la CloudFormation console à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Sur la **StackSets**page, sélectionnez celui StackSet sur lequel vous souhaitez effectuer une détection de dérive.
1. Dans le menu **Actions** sélectionnez **Detect drifts (Détecter les écarts)**.
CloudFormation affiche une barre d'information indiquant que la détection de dérive a été initiée pour le produit sélectionné StackSet.
1. Facultatif : pour suivre la progression de l'opération de détection de l'écart :
1. Sélectionnez le StackSet nom pour afficher la page de **détails du Stackset**.
1. Sélectionnez l'onglet **Operations (Opérations)** sélectionnez l'opération de détection de l'écart, puis sélectionnez **View drift details (Afficher les détails de l'écart)**.
CloudFormation affiche la boîte de dialogue **Détails de l'opération**.
1. Attendez que l'opération de détection de dérive soit CloudFormation terminée. Lorsque l'opération de détection de dérive est terminée, l'**état de dérive et l'****heure de la dernière vérification de dérive** sont mis à CloudFormation jour pour votre StackSet. Ces champs sont répertoriés dans l'onglet **Vue d'ensemble** de la page de **StackSet détails** de la sélection StackSet.
L'opération de détection de dérive peut prendre un certain temps, en fonction du nombre d'instances de pile incluses dans le StackSet et du nombre de ressources incluses dans le StackSet. Vous ne pouvez exécuter qu'une seule opération de détection de dérive sur une même StackSet machine à la fois. CloudFormation poursuit l'opération de détection de dérive même après avoir fermé la barre d'informations.
1. Pour consulter les résultats de détection de dérive pour les instances de pile d'un StackSet, sélectionnez l'onglet **Stack instances**.
La colonne **Nom de la pile** répertorie le nom de la pile associée à chaque instance de pile et la colonne **Statut de l’écart** répertorie le statut de l’écart de cette pile. Une pile est considérée comme ayant dérivé si une ou plusieurs de ses ressources ont dérivé.
1. Pour consulter les résultats de détection de l’écart pour la pile associée à une instance de pile spécifique :
1. Choisissez l'onglet **Opérations**.
1. Sélectionnez l'opération d'écart pour laquelle vous souhaitez afficher les résultats de détection de dérive l'écart. Un volet fractionné affichera le statut et le motif de l’instance de pile pour l’opération sélectionnée. Pour une opération d’écart, la colonne du motif du statut indique le statut de l’écart d’une instance de pile.
1. Choisissez l’instance de pile pour laquelle vous souhaitez afficher les détails de l’écart, puis choisissez **Afficher les écarts des ressources.** La table **Statut de l’écart de ressource** de la page **Écarts de ressources** répertorie chaque ressource de pile avec son statut d’écart et la dernière fois que la détection de l’écart a été lancée sur la ressource. L'ID logique et l'ID physique de chaque ressource sont affichés pour vous aider à l'identifier.
1. Vous pouvez trier les ressources en fonction de leur statut d'écart à l'aide de la colonne **Statut de l'écart**.
Pour afficher les détails sur une ressource modifiée :
1. La ressource étant sélectionnée, sélectionnez **Afficher les détails de l'écart**.
CloudFormation affiche la page détaillée de dérive pour cette ressource en particulier. Cette page répertorie les différences entre les ressources. Elle répertorie également les valeurs des propriétés attendues et actuelles des ressources.
**Note**
Si la pile appartient à une région et à un compte différents de ceux auxquels vous êtes actuellement connecté, le bouton **Détecter l’écart** sera désactivé et vous ne pourrez pas afficher les détails.
## Détecter la dérive sur un StackSet (AWS CLI)
Pour détecter la dérive sur l'ensemble d'une pile à l'aide du AWS CLI, procédez comme suit :
**Pour détecter une dérive sur un StackSet**
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/detect-stack-set-drift.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/detect-stack-set-drift.html)commande pour détecter la dérive sur l'ensemble d'une pile StackSet et sur ses instances de pile associées.
L'exemple suivant lance la détection de dérive sur. StackSet `stack-set-drift-example`
```
aws cloudformation detect-stack-set-drift \
--stack-set-name stack-set-drift-example
```
Sortie :
```
{
"OperationId": "c36e44aa-3a83-411a-b503-cb611example"
}
```
1. Les opérations de détection de StackSet dérive pouvant être une opération de longue durée, utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html)commande pour surveiller l'état de l'opération de dérive. Cette commande prend l'ID d' StackSet opération renvoyé par la **detect-stack-set-drift** commande.
Les exemples suivants utilisent l'ID d'opération de l'exemple précédent pour renvoyer des informations sur l'opération de détection de StackSet dérive. Dans cet exemple, l'opération est toujours en cours d'exécution. Sur les sept instances de pile associées à cela StackSet, une instance de pile a déjà été détectée comme étant dérivée, deux instances sont synchronisées et la détection de la dérive pour les quatre instances de pile restantes est toujours en cours. Comme une instance a dérivé, le statut de dérive de l'instance StackSet elle-même est maintenant`DRIFTED`.
```
aws cloudformation describe-stack-set-operation \
--stack-set-name stack-set-drift-example \
--operation-id c36e44aa-3a83-411a-b503-cb611example
```
Sortie :
```
{
"StackSetOperation": {
"Status": "RUNNING",
"AdministrationRoleARN": "arn:aws:iam::123456789012:role/AWSCloudFormationStackSetAdministrationRole",
"OperationPreferences": {
"RegionOrder": []
},
"ExecutionRoleName": "AWSCloudFormationStackSetExecutionRole",
"StackSetDriftDetectionDetails": {
"DriftedStackInstancesCount": 1,
"TotalStackInstancesCount": 7,
"LastDriftCheckTimestamp": "2019-12-04T20:34:28.543Z",
"InSyncStackInstancesCount": 2,
"InProgressStackInstancesCount": 4,
"DriftStatus": "DRIFTED",
"FailedStackInstancesCount": 0
},
"Action": "DETECT_DRIFT",
"CreationTimestamp": "2019-12-04T20:33:13.673Z",
"StackSetId": "stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22example",
"OperationId": "c36e44aa-3a83-411a-b503-cb611example"
}
}
```
Cet exemple illustre la même commande exécutée ultérieurement et montre les informations renvoyées une fois l'opération de détection de l'écart terminée. Deux des sept instances de pile associées à cela StackSet ont dérivé, ce qui donne à l'état de dérive de l'instance StackSet elle-même la forme `DRIFTED` suivante.
```
aws cloudformation describe-stack-set-operation \
--stack-set-name stack-set-drift-example \
--operation-id c36e44aa-3a83-411a-b503-cb611example
```
Sortie :
```
{
"StackSetOperation": {
"Status": "SUCCEEDED",
"AdministrationRoleARN": "arn:aws:iam::123456789012:role/AWSCloudFormationStackSetAdministrationRole",
"OperationPreferences": {
"RegionOrder": []
}
"ExecutionRoleName": "AWSCloudFormationStackSetExecutionRole",
"EndTimestamp": "2019-12-04T20:37:32.829Z",
"StackSetDriftDetectionDetails": {
"DriftedStackInstancesCount": 2,
"TotalStackInstancesCount": 7,
"LastDriftCheckTimestamp": "2019-12-04T20:36:55.612Z",
"InSyncStackInstancesCount": 5,
"InProgressStackInstancesCount": 0,
"DriftStatus": "DRIFTED",
"FailedStackInstancesCount": 0
},
"Action": "DETECT_DRIFT",
"CreationTimestamp": "2019-12-04T20:33:13.673Z",
"StackSetId": "stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22example",
"OperationId": "c36e44aa-3a83-411a-b503-cb611example"
}
}
```
1. Lorsque l'opération de détection de StackSet dérive est terminée**describe-stack-set**, utilisez les **list-stack-instance-resource-drifts** commandes **list-stack-instances****describe-stack-instance**,, et pour examiner les résultats.
La commande [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set.html) inclut les mêmes informations détaillées sur l’écart que celles renvoyées par la commande **describe-stack-set-operation**.
```
aws cloudformation describe-stack-set \
--stack-set-name stack-set-drift-example
```
Sortie :
```
{
"StackSet": {
"Status": "ACTIVE",
"Description": "Demonstration of drift detection on stack sets.",
"Parameters": [],
"Tags": [
{
"Value": "Drift detection",
"Key": "Feature"
}
],
"ExecutionRoleName": "AWSCloudFormationStackSetExecutionRole",
"Capabilities": [],
"AdministrationRoleARN": "arn:aws:iam::123456789012:role/AWSCloudFormationStackSetAdministrationRole",
"StackSetDriftDetectionDetails": {
"DriftedStackInstancesCount": 2,
"TotalStackInstancesCount": 7,
"LastDriftCheckTimestamp": "2019-12-04T20:36:55.612Z",
"InProgressStackInstancesCount": 0,
"DriftStatus": "DRIFTED",
"DriftDetectionStatus": "COMPLETED",
"InSyncStackInstancesCount": 5,
"FailedStackInstancesCount": 0
},
"StackSetARN": "arn:aws:cloudformation:us-east-1:123456789012:stackset/stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22example",
"TemplateBody": [details omitted],
"StackSetId": "stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22ebexample",
"StackSetName": "stack-set-drift-example"
}
}
```
Vous pouvez utiliser la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-instances.html)commande pour renvoyer des informations récapitulatives sur les instances de pile associées à a StackSet, y compris l'état de dérive de chaque instance de pile.
Dans cet exemple, l'exécution **list-stack-instances** sur l'exemple StackSet avec le filtre d'état de dérive défini sur vous `DRIFTED` permet d'identifier les deux instances de pile ayant un statut de dérive de`DRIFTED`.
```
aws cloudformation list-stack-instances \
--stack-set-name stack-set-drift-example \
--filters Name=DRIFT_STATUS,Values=DRIFTED
```
Sortie :
```
{
"Summaries": [
{
"StackId": "arn:aws:cloudformation:eu-west-1:123456789012:stack/StackSet-stack-set-drift-example-b0fb6083-60c0-4e39-af15-2f071e0db90c/0e4f0940-16d4-11ea-93d8-0641cexample",
"Status": "CURRENT",
"Account": "012345678910",
"Region": "eu-west-1",
"LastDriftCheckTimestamp": "2019-12-04T20:37:32.687Z",
"DriftStatus": "DRIFTED",
"StackSetId": "stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22eexample",
"LastOperationId": "c36e44aa-3a83-411a-b503-cb611example"
},
{
"StackId": "arn:aws:cloudformation:us-east-1:123456789012:stack/StackSet-stack-set-drift-example-b7fde68e-e541-44c2-b33d-ef2e2988071a/008e6030-16d4-11ea-8090-12f89example",
"Status": "CURRENT",
"Account": "123456789012",
"Region": "us-east-1",
"LastDriftCheckTimestamp": "2019-12-04T20:34:28.275Z",
"DriftStatus": "DRIFTED",
"StackSetId": "stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22eexample",
"LastOperationId": "c36e44aa-3a83-411a-b503-cb611example"
},
[additional stack instances omitted]
]
}
```
La commande [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-instance.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-instance.html) renvoie également ces informations, mais pour une seule instance de pile, comme dans l’exemple ci-dessous.
```
aws cloudformation describe-stack-instance \
--stack-set-name stack-set-drift-example \
--stack-instance-account 012345678910 --stack-instance-region us-east-1
```
Sortie :
```
{
"StackInstance": {
"StackId": "arn:aws:cloudformation:us-east-1:123456789012:stack/StackSet-stack-set-drift-example-b7fde68e-e541-44c2-b33d-ef2e2988071a/008e6030-16d4-11ea-8090-12f89example",
"Status": "CURRENT",
"Account": "123456789012",
"Region": "us-east-1",
"ParameterOverrides": [],
"DriftStatus": "DRIFTED",
"LastDriftCheckTimestamp": "2019-12-04T20:34:28.275Z",
"StackSetId": "stack-set-drift-example:bd1f4017-d4f9-432e-a73f-8c22eexample",
"LastOperationId": "c36e44aa-3a83-411a-b503-cb611example"
}
}
```
1. Une fois que vous avez identifié les instances de pile qui ont dérivé, vous pouvez utiliser les informations sur les instances de pile renvoyées par les commandes **list-stack-instances** ou **describe-stack-instance** pour exécuter la commande [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-instance-resource-drifts.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-instance-resource-drifts.html). Cette commande renvoie des informations détaillées sur les ressources de la pile qui présentent un écart pour une opération d’écart particulière.
L’exemple suivant utilise le paramètre `--stack-instance-resource-drift-statuses` pour demander des informations d’écart de pile pour les ressources qui ont été modifiées ou supprimées dans le précédent exemple d’opération d’écart. La demande renvoie des informations sur la seule ressource qui a été modifiée, y compris des détails sur deux de ses propriétés et leurs valeurs qui ont été modifiées. Aucune ressource n'a été supprimée.
```
aws cloudformation list-stack-instance-resource-drifts \
--stack-set-name my-stack-set-with-resource-drift \
--stack-instance-account 123456789012 \
--stack-instance-region us-east-1 \
--operation-id c36e44aa-3a83-411a-b503-cb611example \
--stack-instance-resource-drift-statuses MODIFIED DELETED
```
Sortie :
```
{
"Summaries": [
{
"StackId": "arn:aws:cloudformation:us-east-1:123456789012:stack/my-stack-set-with-resource-drift/489e5570-df85-11e7-a7d9-50example",
"ResourceType": "AWS::SQS::Queue",
"Timestamp": "2018-03-26T17:23:34.489Z",
"PhysicalResourceId": "https://sqs.us-east-1.amazonaws.com/123456789012/my-stack-with-resource-drift-Queue-494PBHCO76H4",
"StackResourceDriftStatus": "MODIFIED",
"PropertyDifferences": [
{
"PropertyPath": "/DelaySeconds",
"ActualValue": "120",
"ExpectedValue": "20",
"DifferenceType": "NOT_EQUAL"
},
{
"PropertyPath": "/RedrivePolicy/maxReceiveCount",
"ActualValue": "12",
"ExpectedValue": "10",
"DifferenceType": "NOT_EQUAL"
}
],
"LogicalResourceId": "Queue"
}
]
}
```
## Arrêter la détection de dérive sur un StackSet
Comme la détection de dérive sur un StackSet peut être une opération de longue durée, il peut arriver que vous souhaitiez arrêter une opération de détection de dérive en cours d'exécution sur un StackSet.
**Pour arrêter la détection de dérive sur une StackSet (console)**
1. Ouvrez la CloudFormation console à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Sur la **StackSets**page, sélectionnez le nom du StackSet.
CloudFormation affiche la page de **StackSets détails** de la sélection StackSet.
1. Sur la page de **StackSets détails**, sélectionnez l'onglet **Opérations**, puis sélectionnez l'opération de détection de dérive.
1. Sélectionnez **Stop operation (Arrêter l'opération)**.
**Pour arrêter la détection de dérive sur un StackSet (AWS CLI)**
+ Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/stop-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/stop-stack-set-operation.html). Vous devez fournir à la fois le StackSet nom et l'identifiant de l'opération de détection de StackSet dérive.
```
aws cloudformation stop-stack-set-operation \
--stack-set-name stack-set-drift-example \
--operation-id 624af370-311a-11e8-b6b7-500cexample
```
# Importez des piles dans CloudFormation StackSets
Une opération d'importation de piles peut importer des piles existantes dans des piles nouvelles ou existantes StackSets, afin que vous puissiez migrer des piles existantes vers une opération StackSet en une seule opération.
Pour *l'autogestion* StackSets, l'opération d'importation peut importer des piles dans le compte administrateur ou dans différents comptes cibles et. Régions AWS Pour les *services gérés* StackSets, l'opération d'importation peut importer n'importe quelle pile au même AWS Organizations titre que le compte de gestion.
Voici les considérations et limites à prendre en compte lors de l'importation de piles dans StackSets :
+ L'opération d'importation peut importer jusqu'à 10 piles à l'aide d'une pile intégrée IDs ou jusqu'à 200 piles à l'aide d'un objet Amazon S3.
+ La propriété `NoEcho` n'est pas prise en charge. Les piles qui en contiennent `NoEcho` ne seront pas importées dans un nouveau StackSets par le biais de l' StackSet importation.
+ Les piles ne peuvent appartenir qu'à un seul StackSet.
+ Vous pouvez implémenter des balises de pile dans le StackSet en spécifiant explicitement des balises en tant que paramètres lors de l'opération d'importation de pile.
+ Les remplacements de paramètres personnalisés d’une pile ne sont pas affectés lors de l’opération d’importation.
+ Les paramètres des instances de stack importées ne peuvent pas être mis à jour à l'aide de l'option **Modifier StackSet les détails**. Vous devez utiliser les ** StackSet paramètres Override**. Pour plus d’informations sur le remplacement des paramètres, voir [Remplacer les paramètres sur les piles](stackinstances-override.md).
+ Les StackSets quotas et les instances de pile s'appliquent lors de l'importation de piles. Pour plus d’informations sur les quotas, consultez [Comprendre les CloudFormation quotas](cloudformation-limits.md).
**Topics**
+ [Importation de stack autogérée pour CloudFormation StackSets](self-managed-import.md)
+ [Importation de stack gérée par des services pour CloudFormation StackSets](service-managed-import.md)
+ [Rétablir les importations de piles dans CloudFormation StackSets](revert-stackset-import.md)
# Importation de stack autogérée pour CloudFormation StackSets
L'opération d'importation de CloudFormation piles peut importer des piles existantes dans des piles nouvelles ou existantes StackSets, afin que vous puissiez migrer des piles existantes vers une opération StackSet en une seule opération. En utilisant l’importation de pile, vous évitez les temps d’arrêt et les pannes sans supprimer et recréer ces ressources. Une fois la pile importée dans un StackSet, la pile d'origine devient une instance de pile de l'ensemble de piles spécifié.
**Considérations relatives à l’importation de piles autogérées**
+ L'opération d'importation de piles nécessite un compte administrateur dans lequel vous créez un compte StackSet et un compte cible contenant une pile.
+ Le compte de destination doit être autorisé à utiliser l’opération `GetTemplate` avec l’entrée de l’ID de pile ou de l’ARN. Pour cette raison, votre compte administrateur doit être **AWSCloudFormationStackSetsExectionRole**autorisé **AWSCloudFormationStackSetAdministrationRole**.
**Topics**
+ [Importer une pile existante dans une nouvelle StackSet (console)](#import-stacks-to-stack-set)
+ [Importer une pile existante dans une pile existante StackSet (console)](#import-stack-to-existing-stackset)
+ [Importer une pile dans un StackSet (AWS CLI)](#importing-stack-to-stackset.cli)
## Importer une pile existante dans une nouvelle StackSet (console)
Avant de commencer, identifiez la pile que vous voulez importer.
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans le volet de navigation, choisissez **StackSets**.
1. En haut de la **StackSets**page, choisissez **Create StackSet**.
1. Sur la page **Choisir un modèle**, spécifiez un modèle à l’aide de l’une des options suivantes et sélectionnez **Suivant**.
+ Choisissez **Amazon S3 URL** (URL Amazon S3), puis spécifiez l'URL de votre modèle dans la zone de texte.
+ Choisissez **Upload a template file** (Charger un fichier de modèle), puis recherchez votre modèle.
+ Choisissez **From stack ID** (Depuis l’ID de la pile) et saisissez l’ID de votre pile.
1. Sur la page **Spécifier StackSet les détails**, entrez le nom du StackSet fichier que vous souhaitez créer et choisissez **Suivant**.
(Facultatif) Entrez une description du StackSet.
1. Sur la page des ** StackSet options de configuration**, passez en revue vos choix et choisissez **Suivant**.
1. Sur la page **Définir les options de déploiement**, sélectionnez **Importer des piles dans le StackSet**.
1. Saisissez l’ID de la pile que vous souhaitez importer dans le champ **Stacks to import** (Piles à importer). Par exemple, `arn:aws:cloudformation:us-east-1:123456789012:stack/StackToImport/f449b250-b969-11e0-a185-5081d0136786`.
(Facultatif) Sélectionnez **Ajouter un autre ID de pile** et saisissez l’ID d’une autre pile que vous voulez importer. Vous pouvez ajouter jusqu’à 10 piles par opération d’importation de pile.
1. Vérifiez vos options de déploiement et sélectionnez **Suivant**.
1. Sur la page **Révision**, passez en revue vos choix et vos StackSet propriétés. Lorsque vous êtes prêt à importer votre pile dans votre StackSet, choisissez **Soumettre**.
**Résultats** : La pile importée est désormais une instance de pile de la pile spécifiée StackSet. Pour en savoir plus sur l’état de l’importation de la pile, consultez [StackSets codes de statut](stacksets-concepts.md#stackset-status-codes).
## Importer une pile existante dans une pile existante StackSet (console)
Avant de commencer, identifiez la pile que vous voulez importer.
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans le volet de navigation, choisissez **StackSets**.
1. Sur la **StackSets**page, choisissez StackSet celui dans lequel vous souhaitez importer une pile.
1. Lorsque cette option est StackSet sélectionnée, choisissez **Ajouter des piles à** dans le StackSet menu **Actions**.
1. Sur la page **Définir les options de déploiement**, sélectionnez **Importer des piles dans le StackSet** et saisissez l’ID de la pile que vous voulez importer dans le champ **Piles à importer**. Par exemple, `arn:aws:cloudformation:us-east-1:123456789012:stack/StackToImport/f449b250-b969-11e0-a185-5081d0136786`.
(Facultatif) Sélectionnez **Ajouter un autre ID de pile** et saisissez l’ID d’une autre pile que vous voulez importer. Vous pouvez ajouter jusqu’à 10 piles par opération d’importation de pile.
1. Choisissez **Suivant**.
1. Sur la page **Spécifier les remplacements**, vérifiez vos choix et sélectionnez **Suivant**.
1. Sur la page **Révision**, passez en revue vos choix et vos StackSet propriétés. Lorsque vous êtes prêt à créer votre StackSet, choisissez **Soumettre**.
**Résultats** : La pile importée est désormais une instance de pile de la pile spécifiée StackSet. Pour en savoir plus sur l’état de l’importation de la pile, consultez [StackSets codes de statut](stacksets-concepts.md#stackset-status-codes).
## Importer une pile dans un StackSet (AWS CLI)
**Pour importer une pile existante dans une nouvelle StackSet**
La `create-stack-set` commande suivante crée StackSet et importe la pile spécifiée. La pile à importer est identifiée par son ARN. Remplacez chaque espace réservé par vos propres informations.
```
aws cloudformation create-stack-set \
--stack-set-name MyStackSet \
--stack-id arn:aws:cloudformation:us-east-1:123456789012:stack/StackToImport/466df9e0-0dff-08e3-8e2f-5088487c4896 \
--administration-role-arn arn:aws:iam::123456789012:role/AWSCloudFormationStackSetAdministrationRole \
--execution-role-name AWSCloudFormationStackSetExecutionRole
```
**Pour importer une pile existante dans une pile existante StackSet**
La `import-stacks-to-stack-sets` commande suivante importe la pile spécifiée dans le *MyStackSet* StackSet. La pile à importer est identifiée par son ARN. Remplacez chaque espace réservé par vos propres informations.
```
aws cloudformation import-stacks-to-stack-set \
--stack-set MyStackSet \
--stack-ids arn:aws:cloudformation:us-east-1:123456789012:stack/StackToImport/f449b250-b969-11e0-a185-5081d0136786
```
Pour spécifier plusieurs piles, veuillez utiliser le format suivant pour la valeur de l’option `--stack-ids`.
```
--stack-ids "arn_1" "arn_2"
```
**Pour cloner la pile importée dans d’autres régions et comptes**
La `create-stack-instances` commande suivante ajoute des instances de pile à votre StackSet. Remplacez chaque espace réservé par vos propres informations.
```
aws cloudformation create-stack-instances \
--stack-set-name MyStackSet \
--accounts '["account_ID_1","account_ID_2"]' \
--regions '["region_1","region_2"]'
```
# Importation de stack gérée par des services pour CloudFormation StackSets
L'opération d'importation de CloudFormation piles peut importer des piles existantes dans des piles nouvelles ou existantes StackSets, afin que vous puissiez migrer des piles existantes vers une opération StackSet en une seule opération. StackSets étend les fonctionnalités des piles afin que vous puissiez créer, mettre à jour ou supprimer des piles sur plusieurs comptes et régions en une seule opération.
**Considérations relatives aux importations de piles gérées par le service**
+ L'opération d'importation de piles nécessite un compte de gestion ou un compte administrateur délégué dans lequel vous pouvez gérer les éléments associés, AWS Organizations par exemple en activant un accès sécurisé avec StackSets.
+ Les comptes cibles doivent être membres du compte AWS Organizations géré par le compte de gestion ou du compte administrateur délégué.
+ La pile de cibles existe dans l'une des cibles OUs.
+ Le compte cible doit être membre de AWS Organizations.
+ AWS Organizations l'accès doit être conforme à l'`ACTIVATED`état pour les Organisations.
+ Les piles importées doivent être présentes dans l’un des comptes membres, et non dans le compte de gestion.
**Topics**
+ [Importer une pile gérée par des services dans une nouvelle StackSet (console)](#import-service-managed-stack-to-new-stackset)
+ [Création et importation d'une pile gérée par des services dans une pile existante StackSet (console)](#import-service-managed-stack-to-existing-stackset)
+ [Importer une pile gérée par des services dans une pile existante StackSet (console)](#import-service-managed-stack-to-existing-stackset-console)
+ [Importer une pile gérée par des services dans un StackSet ()AWS CLI](#import-service-managed-stack-to-stackset.cli)
## Importer une pile gérée par des services dans une nouvelle StackSet (console)
Importez une pile dans une nouvelle StackSet en utilisant le AWS Management Console
Pour importer une nouvelle pile dans un StackSet, identifiez une pile contenant la ressource que vous souhaitez importer.
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans le volet de navigation, choisissez **StackSets**.
1. En haut de la **StackSets**page, choisissez **Create StackSet**.
1. Sur la page **Choisir un modèle**, procédez comme suit :
1. Pour le **modèle StackSet d'autorisation**, choisissez Autorisations **gérées par le service**.
1. Pour **Prérequis – Préparer le modèle**, sélectionnez **Le modèle est prêt**, puis choisissez votre modèle à l’aide de l’une des options suivantes :
+ Pour **URL Amazon S3**, saisissez votre URL Amazon S3 dans le champ **URL Amazon S3**.
+ Pour **Télécharger un fichier modèle**, choisissez un CloudFormation modèle sur votre ordinateur local.
Acceptez vos paramètres et choisissez **Next** (Suivant).
1. Sur la page **Spécifier StackSet les détails**, procédez comme suit :
1. Entrez un StackSet nom dans la zone **StackSet de nom**.
1. (Facultatif) Entrez une description dans la section de **StackSet description**.
Sur la page des ** StackSet options de configuration**, passez en revue vos choix et choisissez **Suivant**.
1. Sur la page **Définir les options de déploiement**, procédez comme suit :
1. Pour **Ajouter des piles au jeu de piles**, sélectionnez **Importer des piles dans le jeu de piles**.
1. Pour **Stacks to import** (Piles à importer), choisissez la méthode d’importation de votre pile.
1. Pour **Stack ID** (ID de la pile), saisissez l’ID de votre pile.
1. Pour **URL de la pile**, saisissez l’URL Amazon S3.
1. Sous **Associer des unités organisationnelles**, procédez comme suit :
1. Sélectionnez **Associer à l’organisation** pour utiliser l’unité organisationnelle racine.
1. Choisissez **Associer aux unités organisationnelles (OUs)** pour saisir l'unité d'organisation parent IDs pour les piles à importer. Par exemple, si `Stack 1` et `Stack 2` sont sous `OU1`, et si `Stack 3` est sous `OU2`, saisissez `OU1` et `OU2`.
Acceptez vos paramètres et choisissez **Next** (Suivant).
1. Sur la page **Révision**, passez en revue vos paramètres et choisissez **Submit** (Soumettre).
## Création et importation d'une pile gérée par des services dans une pile existante StackSet (console)
Pour importer une pile existante dans une nouvelle StackSet, identifiez une pile contenant la ressource que vous souhaitez importer.
**Pour créer StackSet et importer une pile**
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans le volet de navigation, choisissez **StackSets**.
1. En haut de la **StackSets**page, choisissez **Create StackSet**.
1. Sur la page **Choisir un modèle**, procédez comme suit :
1. Pour le **modèle StackSet d'autorisation**, choisissez Autorisations **gérées par le service**.
1. Pour **Prérequis – Préparer le modèle**, sélectionnez **Le modèle est prêt**, puis choisissez votre modèle à l’aide de l’une des options suivantes :
+ Pour **URL Amazon S3**, saisissez votre URL Amazon S3 dans le champ **URL Amazon S3**.
+ Pour **Télécharger un fichier modèle**, choisissez un CloudFormation modèle sur votre ordinateur local.
Acceptez vos paramètres et choisissez **Next** (Suivant).
1. Sur la page **Spécifier StackSet les détails**, procédez comme suit :
1. Entrez un StackSet nom dans la zone **StackSet de nom**.
1. (Facultatif) Entrez une description dans la section de **StackSet description**.
Sur la page des ** StackSet options de configuration**, passez en revue vos choix et choisissez **Suivant**.
1. Sur la page **Définir les options de déploiement**, procédez comme suit :
1. Pour **Add stacks to stack set** (Ajouter des piles à un ensemble de piles), sélectionnez **Deploy new stacks** (Déployer de nouvelles piles).
1. Dans la section **Associer des unités organisationnelles**, procédez comme suit :
1. Sélectionnez **Associer à l’organisation** pour utiliser l’unité organisationnelle racine.
1. Choisissez **Associer aux unités organisationnelles (OUs)** pour saisir l'unité d'organisation parent IDs pour les piles à importer. Par exemple, si `Stack 1` et `Stack 2` sont sous `OU1`, et si `Stack 3` est sous `OU2`, saisissez `OU1` et `OU2`.
1. Pour **Specify regions** (Spécifier des régions) et **Deployment options** (Options de déploiement), vérifiez vos choix.
Acceptez vos paramètres et choisissez **Next** (Suivant).
1. Sur la page **Révision**, passez en revue vos paramètres et choisissez **Submit** (Soumettre).
## Importer une pile gérée par des services dans une pile existante StackSet (console)
Choisissez votre pile StackSet et identifiez la pile que vous souhaitez importer.
**Pour importer une pile dans une pile existante StackSet**
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans le volet de navigation, choisissez **StackSets**.
1. Choisissez le StackSet fichier dans lequel vous souhaitez importer une pile, puis choisissez **Ajouter des piles dans le StackSet** menu déroulant **Actions**.
1. Sur la page **Définir les options de déploiement**, procédez comme suit :
1. Pour **Ajouter des piles au jeu de piles**, sélectionnez **Importer des piles dans le jeu de piles**.
1. Sous **Piles à importer**, procédez comme suit
1. Pour **Stack ID** (ID de la pile), saisissez l’ID de votre pile.
1. Pour **URL de la pile**, saisissez l’URL Amazon S3.
1. Sous **Associer des unités organisationnelles**, procédez comme suit :
1. Sélectionnez **Associer à l’organisation** pour utiliser l’unité organisationnelle racine.
1. Choisissez **Associer aux unités organisationnelles (OUs)** pour saisir l'unité d'organisation parent IDs pour les piles à importer. Par exemple, si `Stack 1` et `Stack 2` sont sous `OU1`, et si `Stack 3` est sous `OU2`, saisissez `OU1` et `OU2`.
Acceptez vos paramètres et choisissez **Next** (Suivant).
1. Vérifiez la page **Spécifier des remplacements** et choisissez **Next** (Suivant).
1. Confirmez et examinez la page **Révision** et choisissez **Submit** (Soumettre).
## Importer une pile gérée par des services dans un StackSet ()AWS CLI
Une fois qu'un StackSet est créé, vous pouvez importer vos piles en transmettant les ID de pile des piles importées. Vous pouvez également transmettre la liste d'ID d'unité d'organisation à laquelle vous souhaitez le mapper.
CloudFormation importera les piles fournies par l'utilisateur dans celles-ci OUs et les utilisera OUs comme cibles de déploiement pour le StackSet. La pile IDs présentée en entrée sera mappée à l'unité d'organisation la plus proche dans la liste d'identifiants d'unités d'organisation saisie en interne. Si une pile n'appartient pas à un ID d'unité existant dans la liste d'entrée, le `StackNotFoundException` message d'erreur AWS CLI sera renvoyé.
L’opération `import-stacks-to-stack-set` crée des instances de pile pour les piles dans l’entrée d’ID d’unité d’organisation. Les AWS CLI exemples suivants utilisent l'`import-stacks-to-stack-set`opération pour importer une pile dans un StackSet.
+ Pour utiliser l’opération `import-stacks-to-stack-sets`, spécifiez les `stack-ids` ou `stack-ids-url` que vous souhaitez importer dans votre ensemble de piles.
```
aws cloudformation import-stacks-to-stack-set \
--stack-set-name ServiceMangedStackSet \
--stack-ids "arn:123456789012:us-east-1:Stack1" \
--organizational-unit-ids ou-examplerootid111-exampleouid111
```
```
aws cloudformation import-stacks-to-stack-set \
--stack-set-name ServiceMangedStackSet \
--stack-ids-url https://amzn-s3-demo-bucket.s3.us-west-2.amazonaws.com/file-name.json \
--organizational-unit-ids ou-examplerootid111-exampleouid111
```
**Note**
L’opération `import-stacks-to-stack-sets` vous oblige à spécifier au moins un ID d’unité d’organisation afin qu’elle puisse associer la pile importée à cette unité d’organisation particulière. Cette opération ne crée pas d'instances de pile pour les autres comptes membres dans le compte associé OUs. Pour mettre à jour les comptes des membres associés OUs, utilisez `create-stack-instances` ou`update-stack-instances`.
`create-stack-set`crée des instances de pile pour tous les comptes sous le OUs modèle fourni par l'utilisateur, soit depuis Direct Upload, soit depuis Amazon S3. Les AWS CLI exemples suivants utilisent l'`create-stack-set`opération pour importer une pile dans une nouvelle StackSet.
+ Pour utiliser cette `create-stack-set` opération, spécifiez votre StackSet nom et importez une pile dans une pile nouvellement créée StackSet.
```
aws cloudformation create-stack-set \
--template-url https://amzn-s3-demo-bucket.s3.us-west-2.amazonaws.com/file-name.json \
--permission-model SERVICE_MANAGED \
--auto-deployment Enabled=true
```
# Rétablir les importations de piles dans CloudFormation StackSets
Si vous constatez des modifications indésirables dans votre instance de pile, vous pouvez revenir sur l’importation de l’instance de pile.
Lorsque vous annulez l'importation d'une instance de pile, elle CloudFormation est supprimée de la pile StackSet mais conserve les ressources de la pile.
Pour annuler une opération d’importation de pile, procédez comme suit.
1. Spécifiez un attribut `DeletionPolicy` de `Retain` pour chaque ressource que vous souhaitez conserver après la suppression de l’instance de pile. Pour de plus amples informations, veuillez consulter [Rétablissement d'une opération d'importation](resource-import-revert.md).
1. Supprimez les instances de pile de votre StackSet. Pour de plus amples informations, veuillez consulter [Supprimer des piles de CloudFormation StackSets](stackinstances-delete.md).
1. Supprimez votre StackSet. Pour de plus amples informations, veuillez consulter [Supprimer CloudFormation StackSets](stacksets-delete.md).
# Bonnes pratiques d'utilisation CloudFormation StackSets
Cette section décrit les meilleures pratiques pour définir un StackSet modèle, créer ou ajouter des piles à un StackSet, ou mettre à jour un StackSet.
Si vous êtes nouveau dans ce domaine CloudFormation, consultez la [CloudFormation meilleures pratiques](best-practices.md) rubrique pour obtenir d'autres recommandations susceptibles de vous aider à l'utiliser de manière CloudFormation plus efficace et plus sûre.
**Topics**
+ [Définition du modèle](#w2aac15c41b9)
+ [Création ou ajout de piles dans StackSet](#w2aac15c41c11)
+ [Mettre à jour les piles dans un StackSet](#w2aac15c41c13)
## Définition du modèle
+ Définissez le modèle à normaliser dans les différents comptes et les différentes régions.
+ Au fur et à mesure que vous créez le modèle, assurez-vous que les ressources globales (par exemple, les rôles IAM et les compartiments Amazon S3) n'entraînent pas de conflits de noms lorsqu'elles sont créées dans plusieurs régions dans le même compte.
+ A StackSet possède un modèle et un ensemble de paramètres uniques. La même pile est créée dans tous les comptes associés à un StackSet. Au fur et à mesure que vous créez vos modèles, rendez-les suffisamment précis pour obtenir un bon équilibre entre le contrôle et la normalisation.
+ Nous vous recommandons de stocker votre modèle dans un compartiment Amazon S3.
## Création ou ajout de piles dans StackSet
+ Vérifiez que l'ajout d'instances de pile à votre configuration initiale StackSet fonctionne avant d'ajouter un plus grand nombre d'instances de pile à votre StackSet.
+ Choisissez les options de déploiement qui fonctionnent pour votre cas d'utilisation.
+ Pour effectuer un déploiement plus conservatif, définissez **Maximum Concurrent Accounts (Nombre maximal de comptes en parallèle)** sur 1 et **Failure Tolerance (Tolérance aux pannes)** sur 0. Placez votre région où l'impact reste mineur à la première place de la liste **Region Order (Ordre des régions)**. Commencez avec une seule région.
+ Pour accélérer le déploiement, augmentez les valeurs de **Maximum Concurrent Accounts (Nombre maximal de comptes en parallèle)** et de **Failure Tolerance (Tolérance aux pannes)** selon vos besoins.
+ Les opérations StackSets dépendent du nombre d'instances de stack impliquées et peuvent prendre beaucoup de temps.
## Mettre à jour les piles dans un StackSet
+ Par défaut, la mise à jour d'une StackSet met à jour toutes les instances de pile. Si vous avez 20 comptes chacun dans deux régions, vous aurez 40 instances de pile, et toutes seront mises à jour lorsque vous mettrez à jour le StackSet.
Dans le cas StackSets d'un grand nombre d'instances de pile, nous recommandons, pour tester la version mise à jour d'un modèle, de mettre à jour les instances de pile de manière sélective dans quelques comptes de test avant de mettre à jour toutes les instances de pile.
+ Pour avoir un contrôle plus précis sur la mise à jour des piles individuelles au sein de votre entreprise StackSet, prévoyez d'en créer plusieurs. StackSets
+ La mise à jour d'un fichier StackSet contenant un grand nombre de piles peut prendre beaucoup de temps. Dans cette version, une seule opération est autorisée à la fois sur un StackSet. Planifiez vos mises à jour de manière à ne pas être empêché d'effectuer d'autres opérations sur le StackSet.
# CloudFormation StackSets exemples de modèles
Cette section contient des liens vers des exemples de CloudFormation modèles qui peuvent vous aider à CloudFormation StackSets les utiliser dans votre entreprise. Les modèles répertoriés dans cette section activent [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) ou [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) et les règles qu'il contient.
**Important**
Pour des raisons de sécurité, lorsque vous autorisez AWS Config l'accès à un compartiment Amazon S3, nous vous recommandons vivement de restreindre l'accès dans le cadre de la politique de compartiment à `AWS:SourceAccount` cette condition. Les nouveaux modèles ont été mis à jour pour inclure `AWS:SourceAccount`. Si votre politique de compartiment existante ne suit pas cette bonne pratique en matière de sécurité, nous vous recommandons vivement de la modifier pour inclure cette protection. Cela garantit que l'accès AWS Config est accordé au nom des utilisateurs attendus uniquement.
| Description | Lien S3 |
| --- | --- |
| Activer AWS CloudTrail | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/Activer AWSCloudtrail .yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSCloudtrail.yml) |
| Activer AWS Config | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/Activer AWSConfig .yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSConfig.yml) |
| Activer AWS Config avec la journalisation centralisée | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/Activer AWSConfig ForOrganizations .yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSConfigForOrganizations.yml) |
| Activez les politiques par défaut d'Amazon Data Lifecycle Manager au AWS sein d'une organisation ou de AWS comptes spécifiques | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEncryptedVolumes.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEncryptedVolumes.yml) |
| Configurer une AWS Config règle pour déterminer si elle CloudTrail est activée | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleCloudtrailEnabled.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleCloudtrailEnabled.yml) |
| Configurer une AWS Config règle pour déterminer si le MFA root est activé | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleRootAccountMFAEnabled.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleRootAccountMFAEnabled.yml) |
| Configurer une AWS Config règle pour déterminer si EIPs elles sont jointes | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEipAttached.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEipAttached.yml) |
| Configurer une AWS Config règle pour déterminer si les volumes EBS sont chiffrés | [https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEncryptedVolumes.yml](https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/ConfigRuleEncryptedVolumes.yml) |
# Résolution des problèmes CloudFormation StackSets
Cette rubrique présente certains StackSets problèmes courants et propose des solutions à ces problèmes.
**Topics**
+ [Raisons les plus courantes de l’échec de l’opération de pile](#common-reasons-for-stack-operation-failure)
+ [Nouvelle tentative non réussie de création ou mise à jour de pile](#retrying-failed-stack-creation-or-update-operations)
+ [Echec de la suppression de l’instance de pile](#stack-instance-delete-fails)
+ [L’opération d’importation de pile échoue](#stack-import-fails)
+ [Nombre de défaillances des instances de Stack pour les StackSets opérations](#stack-instance-failure-count-for-stackset-operations)
## Raisons les plus courantes de l’échec de l’opération de pile
**Problème :** Une opération de pile a échoué et l’instance de pile a le statut `OUTDATED`.
**Cause :** Plusieurs causes courantes sont associées à l’échec d’une opération de pile.
+ Autorisations insuffisantes dans un compte de destination pour la création des ressources spécifiées dans votre modèle.
+ Le CloudFormation modèle peut contenir des erreurs. Validez le modèle CloudFormation et corrigez les erreurs avant d'essayer de créer votre StackSet.
+ Le modèle effectue peut-être une tentative de création de ressources globales qui doivent être uniques et qui ne le sont, par exemple des compartiments S3.
+ Un numéro de compte de destination spécifié n'existe pas. Vérifiez les numéros de compte de destination que vous avez spécifiés sur la page **Set deployment options (Définir les options de déploiement)** de l'assistant.
+ Le compte d'administrateur de compte n'a pas de relation d'approbation avec le compte de destination.
+ Le nombre maximal d'une ressource spécifiée dans votre modèle est déjà atteint dans votre compte de destination. Par exemple, vous avez peut-être atteint le nombre limite de rôles IAM autorisés dans un compte de destination, mais le modèle crée d'autres rôles IAM.
+ Vous avez atteint le nombre maximum de piles autorisées dans un StackSet. Pour le nombre maximum de piles par StackSet, voir[Comprendre les CloudFormation quotas](cloudformation-limits.md).
**Solution :** Pour plus d'informations sur les autorisations requises pour les comptes cible et administrateur avant de pouvoir créer StackSets, consultez[Autorisation accordée à tous les utilisateurs du compte administrateur de gérer les piles dans tous les comptes cibles](stacksets-prereqs-self-managed.md#stacksets-prereqs-accountsetup).
## Nouvelle tentative non réussie de création ou mise à jour de pile
**Problème :** Une création ou mise à jour de pile a échoué, et l’instance de pile a le statut `OUTDATED`. Pour résoudre les problèmes liés à l'échec de la création ou de la mise à jour d'une pile, ouvrez la CloudFormation console et consultez les événements de la pile, dont le statut sera `DELETED` (en cas d'échec des opérations de création) ou `FAILED` (en cas d'échec des opérations de mise à jour). Dans les événements de la pile, recherchez la colonne **Motif du statut**. La valeur de **Motif du statut** explique pourquoi l’opération de pile a échoué.
Une fois que vous éliminé la cause sous-jacente de l’échec de la création de la pile et que vous êtes prêt à réessayer de créer la pile, effectuez les étapes suivantes.
**Solution :** Effectuez les étapes suivantes pour recommencer votre opération de pile.
1. Dans la console, sélectionnez celui StackSet qui contient la pile sur laquelle l'opération a échoué.
1. Dans le menu **Actions**, choisissez **Modifier les StackSet détails** pour réessayer de créer ou de mettre à jour des piles.
1. Sur la page **Specify template (Spécifier un modèle)**, pour utiliser le même modèle CloudFormation, conservez l'option par défaut, **Utiliser modèle en cours**. Si votre opération de pile a échoué car le modèle nécessitait des modifications, et que vous souhaitez charger un modèle révisé, choisissez **Upload a template to Amazon S3** (Télécharger un modèle sur Amazon S3) à la place, puis **Browse** (Parcourir) pour sélectionner votre modèle mis à jour. Lorsque vous avez fini de charger votre modèle révisé, cliquez sur **Next** (Suivant).
1. Sur la page **Spécifier les détails de la pile**, si vous ne modifiez aucun paramètre spécifique à votre modèle, sélectionnez **Suivant**.
1. Sur la page **Set deployment options (Définir les options de déploiement)**, modifiez les valeurs par défaut de **Maximum concurrent accounts (Nombre maximal de comptes en parallèle)** et **Failure tolerance (Tolérance aux pannes)** si vous le souhaitez. Pour plus d’informations sur ces paramètres, consultez la page [StackSet options de fonctionnement](stacksets-concepts.md#stackset-ops-options).
1. Sur la page **Vérification**, vérifiez vos sélections et cochez la case pour reconnaître les fonctions IAM requises. Sélectionnez **Soumettre**.
1. Si votre pile n’est pas mise à jour avec succès, répétez cette procédure après avoir résolu les problèmes sous-jacents qui empêchent la création de la pile.
## Echec de la suppression de l’instance de pile
**Problème :** échec de la suppression d’une pile.
**Cause :** la suppression échoue pour n’importe quelle pile dont la protection contre la résiliation a été activée.
**Solution :** déterminez si la protection contre la résiliation a été activée pour la pile. Si c’est le cas, désactivez la protection contre la résiliation, puis effectuez à nouveau l’opération de suppression de l’instance de pile.
## L’opération d’importation de pile échoue
**Problème :** une opération d'importation de piles ne parvient pas à importer des piles existantes dans des piles nouvelles ou existantes StackSets. L’instance de pile se trouve à l’état `INOPERABLE`.
**Solution :** annulez l’opération d’importation de pile en procédant comme suit.
1. Utilisez l' StackSetsoption **Supprimer les piles depuis** et activez-la **RetainStacks**lors de la configuration, puis supprimez les instances de pile de votre StackSet. Pour plus d’informations, consultez [Supprimer des piles de CloudFormation StackSets](stackinstances-delete.md).
1. Vous verrez que les instances de pile StackSet sont mises à jour pour supprimer l'instance de `INOPERABLE` pile.
1. Corrigez les instances de pile en fonction de l’erreur d’échec de l’importation et recommencez l’opération d’importation de la pile.
## Nombre de défaillances des instances de Stack pour les StackSets opérations
Le nombre d’instances de pile défaillantes vous avertit en cas d’échec de la mise en service ou la mise à jour des instances de pile. Ces instances de pile n’ont pas été déployées pour une ou plusieurs des raisons suivantes :
+ Ressource(s) existante(s) dotée(s) d'une configuration similaire
+ Dépendances manquantes, telles que les Gestion des identités et des accès AWS rôles (IAM)
+ Autres facteurs de conflit
Si vous souhaitez effectuer un déploiement avec une simultanéité maximale, la valeur maximale de simultanéité est, au maximum, supérieure d'une unité à la valeur de tolérance aux pannes. Par exemple, si la valeur de tolérance aux pannes est de 9, la valeur maximale de simultanéité ne peut pas être supérieure à 10. Ainsi l’opération renvoie `SUCCEEDED` même si certaines instances de pile ne sont pas mises à jour. Le nouveau nombre d’instances de pile défaillantes vous permet de déterminer si l’opération n’a abouti que de manière conditionnelle parce que la valeur de tolérances aux pannes est définie pour autoriser toutes les défaillances.
Vous pouvez utiliser le AWS Management Console AWS SDK ou AWS CLI pour obtenir le nombre d'échecs et filtrer les instances de pile afin de déterminer quelles instances doivent être redéployées.
### Utilisation de la console
**Pour afficher le nombre d’instances de pile défaillantes :**
1. Ouvrez la [CloudFormationconsole](https://console.aws.amazon.com/cloudformation) et choisissez **StackSets**.
1. Choisissez votre StackSet, puis cliquez sur l'onglet **Opérations**.
1. Sélectionnez un état dans la colonne **Status** (État) pour afficher les détails relatifs à l'état. Vous trouverez le nombre d’instances de pile défaillantes d’une opération particulière dans les détails relatifs à l’état.
**Pour consulter le nombre, la région et l’état des instances de pile associées à l’opération :**
1. Dans les détails relatifs à l’état, sélectionnez le nombre d’instances de pile défaillantes. *Exemple :* **Instances de pile : ``**.
1. Développez le panneau latéral en sélectionnant l'en-tête de celui-ci. Les résultats affichés dans le panneau latéral indiquent l’état des instances de pile une fois l’opération sélectionnée terminée.
**Pour afficher les détails de l’instance de pile actuelle d’une opération :**
1. Sélectionnez l’onglet **Stack Instances** (Instances de pile).
1. Utilisez le filtre suivant : **Last operation ID** (ID de la dernière opération). Les résultats indiquent l'état actuel et le motif de cet état depuis la dernière opération de modification de l'instance. Vous pouvez utiliser ce filtre en combinaison avec **compte AWS **, **région AWS **, **état détaillé**, et **état d’écart** pour affiner davantage vos résultats de recherche.
### À l'aide du AWS CLI
Pour connaître le nombre d’instances de pile défaillantes, appelez `describe-stack-set-operation` ou `list-stack-set-operations` et consultez `StatusDetails`.
```
aws cloudformation describe-stack-set-operation --stack-set-name ss1 \
--operation-id 5550e62f-c822-4331-88fa-21c1d7bafc60
```
```
{
"StackSetOperation": {
"OperationId": "5550e62f-c822-4331-88fa-21c1d7bafc60",
"StackSetId": "ss1:9101ca57-49fc-4a61-a5a6-4c97b8adb08f",
"Action": "CREATE",
"Status": "SUCCEEDED",
"OperationPreferences": {
"RegionOrder": [],
"FailureToleranceCount": 10,
"MaxConcurrentCount": 10
},
"AdministrationRoleARN": "arn:aws:iam::123456789012:role/AWSCloudFormationStackSetAdministrationRole",
"ExecutionRoleName": "AWSCloudFormationStackSetExecutionRole",
"CreationTimestamp": "2022-10-26T17:18:53.947000+00:00",
"EndTimestamp": "2022-10-26T17:19:35.304000+00:00",
"StatusDetails": {
"FailedStackInstancesCount": 3
}
}
}
```
```
aws cloudformation list-stack-set-operations --stack-set-name ss1
```
```
{
"Summaries": [
{
"OperationId": "5550e62f-c822-4331-88fa-21c1d7bafc60",
"Action": "CREATE",
"Status": "SUCCEEDED",
"CreationTimestamp": "2022-10-26T17:18:53.947000+00:00",
"EndTimestamp": "2022-10-26T17:19:35.304000+00:00",
"StatusDetails": {
"FailedStackInstancesCount": 3
},
"OperationPreferences": {
"RegionOrder": [],
"FailureToleranceCount": 10,
"MaxConcurrentCount": 10
}
}
]
}
```
Pour obtenir un aperçu de l’historique d’une opération particulière, utilisez `list-stack-set-operation-results` afin d’afficher l’état et le motif de l’état de chaque instance de pile au terme de l’opération. Consultez l'exemple suivant pour trouver l'état (`Status`) et le motif de l'état (`StatusReason`) :
```
aws cloudformation list-stack-set-operation-results --stack-set-name ss1 \
--operation-id 5550e62f-c822-4331-88fa-21c1d7bafc60 --filters Name=OPERATION_RESULT_STATUS,Values=FAILED
```
```
{
"Summaries": [
{
"Account": "123456789012",
"Region": "us-west-2",
"Status": "FAILED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"AccountGateResult": {
"Status": "SKIPPED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'."
},
"OrganizationalUnitId": ""
},
{
"Account": "123456789012",
"Region": "us-west-1",
"Status": "FAILED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"AccountGateResult": {
"Status": "SKIPPED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'."
},
"OrganizationalUnitId": ""
},
{
"Account": "123456789012",
"Region": "us-east-1",
"Status": "FAILED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"AccountGateResult": {
"Status": "SKIPPED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'."
},
"OrganizationalUnitId": ""
}
]
}
```
Utilisez `list-stack-instances` avec les filtres `DETAILED_STATUS` et `LAST_OPERATION_ID` pour obtenir la liste des instances de pile qui ont échoué lors de la dernière opération au cours de laquelle un déploiement de celles-ci a été tenté. Voir l'indicateur `--filters` dans l'exemple comportant `DETAILED_STATUS` et `LAST_OPERATION_ID` :
```
aws cloudformation list-stack-instances --stack-set-name ss1 \
--filters Name=DETAILED_STATUS,Values=FAILED Name=LAST_OPERATION_ID,Values=5550e62f-c822-4331-88fa-21c1d7bafc60
```
```
{
"Summaries": [
{
"StackSetId": "ss1:9101ca57-49fc-4a61-a5a6-4c97b8adb08f",
"Region": "us-east-1",
"Account": "123456789012",
"Status": "OUTDATED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"StackInstanceStatus": {
"DetailedStatus": "FAILED"
},
"OrganizationalUnitId": "",
"DriftStatus": "NOT_CHECKED",
"LastOperationId": "5550e62f-c822-4331-88fa-21c1d7bafc60"
},
{
"StackSetId": "ss1:9101ca57-49fc-4a61-a5a6-4c97b8adb08f",
"Region": "us-west-1",
"Account": "123456789012",
"Status": "OUTDATED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"StackInstanceStatus": {
"DetailedStatus": "FAILED"
},
"OrganizationalUnitId": "",
"DriftStatus": "NOT_CHECKED",
"LastOperationId": "5550e62f-c822-4331-88fa-21c1d7bafc60"
},
{
"StackSetId": "ss1:9101ca57-49fc-4a61-a5a6-4c97b8adb08f",
"Region": "us-west-2",
"Account": "123456789012",
"Status": "OUTDATED",
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"StackInstanceStatus": {
"DetailedStatus": "FAILED"
},
"OrganizationalUnitId": "",
"DriftStatus": "NOT_CHECKED",
"LastOperationId": "5550e62f-c822-4331-88fa-21c1d7bafc60"
}
]
}
```
Pour trouver l’ID de la dernière opération afin de modifier une instance de pile, utilisez `list-stack-instances` ou `describe-stack-instance` de manière à obtenir `LastOperationId` :
```
aws cloudformation describe-stack-instance --stack-set-name ss1 \
--stack-instance-account 123456789012 --stack-instance-region us-east-2
```
```
{
"StackInstance": {
"StackSetId": "ss1:9101ca57-49fc-4a61-a5a6-4c97b8adb08f",
"Region": "us-west-2",
"Account": "123456789012",
"ParameterOverrides": [],
"Status": "OUTDATED",
"StackInstanceStatus": {
"DetailedStatus": "FAILED"
},
"StatusReason": "Account 123456789012 should have 'AWSCloudFormationStackSetExecutionRole' role with trust relationship to Role 'AWSCloudFormationStackSetAdministrationRole'.",
"OrganizationalUnitId": "",
"DriftStatus": "NOT_CHECKED",
"LastOperationId": "5550e62f-c822-4331-88fa-21c1d7bafc60"
}
}
```