Mencegah StackSets penerapan yang gagal menggunakan gerbang akun target - AWS CloudFormation
PersyaratanCloudFormation template untuk membuat fungsi Lambda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mencegah StackSets penerapan yang gagal menggunakan gerbang akun target

Gerbang akun adalah fitur opsional yang membantu Anda memverifikasi bahwa akun target memenuhi persyaratan tertentu sebelum CloudFormation memulai StackSets operasi di akun tersebut. Verifikasi ini dilakukan melalui AWS Lambda fungsi yang bertindak sebagai pemeriksaan prasyarat.

Contoh umum dari gerbang akun adalah memverifikasi bahwa tidak ada CloudWatch alarm yang aktif atau tidak terselesaikan pada akun target. CloudFormation memanggil fungsi Lambda setiap kali Anda memulai operasi tumpukan di akun target, dan hanya berlanjut jika fungsi mengembalikan SUCCEEDED kode. Jika fungsi Lambda mengembalikan statusFAILED, CloudFormation tidak melanjutkan operasi yang Anda minta. Jika Anda tidak memiliki fungsi Lambda gerbang akun yang dikonfigurasi CloudFormation , lewati pemeriksaan, dan lanjutkan operasi Anda.

Jika akun target Anda menggagalkan pemeriksaan gerbang akun, operasi yang digagalkan akan dihitung terhadap jumlah toleransi kegagalan yang ditentukan atau persentase tumpukan. Untuk informasi lebih lanjut tentang toleransi kegagalan, lihat StackSet opsi operasi.

Account gating hanya tersedia untuk StackSets operasi. Fitur ini tidak tersedia untuk CloudFormation operasi lain di luar StackSets.

Persyaratan

Persyaratan berikut harus dipenuhi untuk account gating:

  • Fungsi Lambda Anda harus diberi nama AWSCloudFormationStackSetAccountGate untuk menggunakan fitur ini.

  • AWSCloudFormationStackSetExecutionRoleHarus memiliki izin untuk menjalankan fungsi Lambda Anda. Tanpa izin ini, CloudFormation akan melewati pemeriksaan gerbang akun dan melanjutkan dengan operasi tumpukan.

  • InvokeFunctionIzin Lambda harus ditambahkan ke akun target agar gerbang akun berfungsi. Kebijakan kepercayaan akun target harus memiliki hubungan kepercayaan dengan akun administrator. Berikut ini adalah contoh pernyataan kebijakan yang memberikan izin InvokeFunction Lambda.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": "*"
        }
    ]
}

CloudFormation template untuk membuat fungsi Lambda

Gunakan contoh template berikut untuk membuat fungsi LambdaAWSCloudFormationStackSetAccountGate. Untuk membuat tumpukan baru menggunakan salah satu templat ini, lihatBuat tumpukan dari CloudFormation konsol.

Lokasi templat

Deskripsi

https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateSucceeded.yml

Membuat tumpukan yang mengimplementasikan fungsi gerbang akun Lambda yang akan mengembalikan status. SUCCEEDED

https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateFailed.yml

Membuat tumpukan yang mengimplementasikan fungsi gerbang akun Lambda yang akan mengembalikan status. FAILED