Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat CloudFormation StackSets dengan izin yang dikelola layanan
<a name="stacksets-orgs-associate-stackset-with-org"></a>

Dengan izin yang *dikelola layanan*, Anda dapat menerapkan tumpukan ke akun yang dikelola oleh di Wilayah tertentu. AWS Organizations Dengan model ini, Anda tidak perlu membuat peran IAM di setiap akun target dan Wilayah AWS. CloudFormation menciptakan peran IAM atas nama Anda. Untuk informasi selengkapnya, lihat [Aktifkan akses tepercaya](stacksets-orgs-activate-trusted-access.md).

**Topics**
+ [Pertimbangan](#stacksets-orgs-considerations)
+ [Buat StackSet dengan izin yang dikelola layanan (konsol)](#stacksets-orgs-associate-stackset-with-org-console)
+ [Buat StackSet dengan izin yang dikelola layanan ()AWS CLI](#stacksets-orgs-associate-stackset-with-org-cli)

## Pertimbangan
<a name="stacksets-orgs-considerations"></a>

Sebelum Anda membuat izin yang dikelola layanan StackSet dengan layanan, pertimbangkan hal berikut:
+ StackSets dengan izin yang dikelola layanan dapat dimulai oleh akun manajemen organisasi Anda atau akun administrator yang didelegasikan, tetapi semua operasi dilakukan oleh akun manajemen.
+ CloudFormation tidak menyebarkan tumpukan ke akun manajemen, bahkan jika akun itu adalah bagian dari organisasi Anda atau milik unit organisasi (OU).
+ Anda StackSet dapat menargetkan seluruh organisasi Anda (termasuk semua akun) atau ditentukan OUs. Ketika StackSet menargetkan OU orang tua, secara otomatis menyertakan anak mana pun OUs. Secara default, ketika StackSet target tertentu OUs, itu mencakup semua akun di dalamnya OUs. Namun, Anda dapat menargetkan akun tertentu menggunakan opsi filter akun.
+ Beberapa StackSets dapat menargetkan organisasi atau OU yang sama.
+ Anda tidak dapat menargetkan akun di luar organisasi Anda.
+ Otorisasi Anda untuk menerapkan StackSets bergantung pada izin yang ditetapkan ke kepala sekolah IAM (pengguna, peran, atau grup) yang Anda gunakan untuk masuk ke akun manajemen. Untuk contoh kebijakan IAM yang memberikan izin untuk diterapkan ke organisasi, lihat. [Batasi operasi set tumpukan berdasarkan Wilayah dan tipe sumber daya](security_iam_id-based-policy-examples.md#resource-level-permissions-service-managed-stack-set)
+ Administrator yang didelegasikan memiliki izin penuh untuk diterapkan ke akun apa pun di organisasi Anda. Akun manajemen tidak dapat membatasi izin administrator yang didelegasikan untuk diterapkan ke spesifik OUs atau operasi. StackSet 
+ Pengaturan penerapan otomatis berlaku di StackSet level tersebut. Anda tidak dapat menyesuaikan penerapan otomatis secara selektif untuk OUs, akun, atau Wilayah.
+ StackSets yang menggunakan izin yang dikelola layanan tidak mendukung tumpukan atau templat bersarang yang berisi makro atau transformasi.

## Buat StackSet dengan izin yang dikelola layanan (konsol)
<a name="stacksets-orgs-associate-stackset-with-org-console"></a>

**Untuk membuat StackSet**

1. Masuk ke Konsol Manajemen AWS dan buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

1. Pada bilah navigasi di bagian atas layar, pilih Wilayah AWS yang ingin Anda StackSet kelola.

1. Dari panel navigasi, pilih **StackSets**.

1. Dari bagian atas **StackSets**halaman, pilih **Buat StackSet**.

1. Dalam **Izin**, pilih **Izin yang dikelola layanan**.
**catatan**  
Jika akses tepercaya dengan AWS Organizations dinonaktifkan, spanduk akan ditampilkan. Akses tepercaya diperlukan untuk membuat atau memperbarui izin StackSet yang dikelola layanan. Hanya administrator di akun manajemen organisasi yang memiliki izin untuk[Aktifkan akses tepercaya untuk StackSets dengan AWS Organizations](stacksets-orgs-activate-trusted-access.md).

1. **Di bawah **Prasyarat - Siapkan templat, pilih Template** sudah siap.**

1. Dalam **Tentukan templat**, pilih untuk menentukan URL untuk bucket S3 yang berisi templat tumpukan Anda atau unggah file templat tumpukan. Lalu, pilih **Selanjutnya**.

1. Pada halaman **Tentukan StackSet detail**, berikan nama untuk StackSet, tentukan parameter apa pun, lalu pilih **Berikutnya**.

1. Pada halaman **Konfigurasi StackSet opsi**, di bawah **Tag**, tentukan tag apa pun yang akan diterapkan ke sumber daya di tumpukan Anda. Untuk informasi selengkapnya tentang cara tag digunakan AWS, lihat [Mengatur dan melacak AWS biaya menggunakan tag alokasi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) biaya di *Panduan AWS Manajemen Penagihan dan Biaya Pengguna*.

1. Untuk **konfigurasi Eksekusi**, pilih **Aktif** untuk mengaktifkan CloudFormation penanganan operasi yang dioptimalkan:
   + Operasi yang tidak bertentangan berjalan secara bersamaan untuk waktu penerapan yang lebih cepat.
   + Operasi yang saling bertentangan secara otomatis diantrian dan diproses sesuai urutan yang diminta.

   Saat operasi berjalan atau mengantri, CloudFormation mengantri semua operasi yang masuk meskipun tidak bertentangan. Anda tidak dapat mengubah pengaturan eksekusi selama waktu ini.

1. Jika template Anda berisi sumber daya IAM, untuk **Kemampuan**, pilih **Saya mengakui bahwa templat ini dapat membuat sumber daya IAM** untuk menentukan bahwa Anda ingin menggunakan sumber daya IAM dalam templat. Untuk informasi selengkapnya, lihat [Mengakui sumber daya IAM dalam templat CloudFormation](control-access-with-iam.md#using-iam-capabilities).

1. Pilih **Berikutnya** untuk melanjutkan dan mengaktifkan akses tepercaya jika belum diaktifkan.

1. Pada halaman **Setel opsi penerapan**, di bawah **target Deployment**, lakukan salah satu hal berikut:
   + Untuk menyebarkan ke semua akun di organisasi Anda, pilih **Terapkan ke** organisasi. 
   + Untuk menyebarkan ke semua akun secara spesifik OUs, pilih **Terapkan ke unit organisasi () OUs**. Pilih **Tambahkan OU**, dan kemudian tempelkan ID OU target dalam kotak teks. Ulangi untuk setiap OU target baru.

   Jika Anda memilih **Deploy ke unit organisasi (OUs)**, untuk **jenis filter Akun**, Anda dapat menetapkan target penerapan Anda menjadi akun individual tertentu dengan memilih salah satu opsi berikut dan memberikan nomor akun.
   + **Tidak ada** (default) - Menerapkan tumpukan ke semua akun dalam yang ditentukan. OUs
   + **Persimpangan** — Menyebarkan tumpukan ke akun individu tertentu dalam yang dipilih. OUs
   + **Perbedaan** — Menyebarkan tumpukan ke semua akun di akun yang dipilih OUs kecuali untuk akun tertentu.
   + **Union** — Menyebarkan tumpukan ke akun individual tambahan yang ditentukan OUs ditambah.

1. Di bawah **Penerapan otomatis**, pilih apakah akan secara otomatis menerapkan ke akun yang ditambahkan ke organisasi target atau OUs di masa mendatang. Untuk informasi selengkapnya, lihat [Mengaktifkan atau menonaktifkan penerapan otomatis untuk in StackSets AWS Organizations](stacksets-orgs-manage-auto-deployment.md).

1. Jika Anda mengaktifkan deployment otomatis, dalam **Perilaku penghapusan akun**, pilih apakah sumber daya tumpukan dipertahankan atau dihapus ketika akun dihapus dari organisasi atau OU target.
**catatan**  
Dengan **tumpukan Pertahankan** dipilih, tumpukan dihapus dari Anda StackSet, tetapi tumpukan dan sumber daya terkaitnya dipertahankan. Sumber daya tetap dalam keadaan mereka saat ini, tetapi tidak akan lagi menjadi bagian dari StackSet.

1. Di bawah **Tentukan wilayah**, pilih Wilayah tempat Anda ingin menerapkan tumpukan.

1. Untuk **opsi Deployment**, lakukan hal berikut:
   + Untuk **Akun bersamaan maksimum**, tentukan berapa banyak akun yang diproses secara bersamaan.
   + Untuk **toleransi Kegagalan**, tentukan jumlah maksimum kegagalan akun yang diizinkan per Wilayah. Operasi akan berhenti dan tidak akan melanjutkan ke Wilayah lain setelah batas ini tercapai.
   + Untuk **konkurensi Wilayah**, pilih cara memproses Wilayah: **Berurutan** (satu Wilayah pada satu waktu) atau **Paralel** (beberapa Wilayah secara bersamaan).
   + Untuk **mode Konkurensi**, pilih bagaimana konkurensi berperilaku selama eksekusi operasi.
     + **Toleransi kegagalan yang ketat** — Mengurangi tingkat konkurensi akun saat kegagalan terjadi, tetap berada dalam **toleransi Kegagalan** \$11.
     + **Toleransi kegagalan lunak** - Mempertahankan tingkat konkurensi yang Anda tentukan (nilai **akun bersamaan maksimum**) terlepas dari kegagalan. 
   + Untuk StackSet **dependensi**, tambahkan dependen StackSet ARNs, tetap dalam maksimum 10 dependensi. Untuk informasi selengkapnya, lihat [Mengaktifkan atau menonaktifkan penerapan otomatis untuk in StackSets AWS Organizations](stacksets-orgs-manage-auto-deployment.md).

1. Pilih **Next** untuk melanjutkan.

1. Pada halaman **Tinjauan**, verifikasi bahwa Anda StackSet akan menyebarkan ke akun yang benar di Wilayah yang benar, lalu pilih **Buat StackSet**.

   Halaman **StackSet detail** terbuka. Anda dapat melihat kemajuan dan status pembuatan tumpukan di Anda StackSet.

## Buat StackSet dengan izin yang dikelola layanan ()AWS CLI
<a name="stacksets-orgs-associate-stackset-with-org-cli"></a>

Ikuti langkah-langkah di bagian ini untuk menggunakan AWS CLI to:
+ Buat StackSet wadahnya.
+ Menyebarkan instance tumpukan.

**catatan**  
Saat bertindak sebagai administrator yang didelegasikan, Anda harus memasukkan `--call-as DELEGATED_ADMIN` dalam perintah.

------
#### [ Deploy to your organization ]

**Untuk membuat StackSet**

1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html)perintah untuk membuat StackSet nama baru`my-stackset`. Contoh berikut menggunakan template yang disimpan dalam bucket S3, mengaktifkan penerapan otomatis, dan mempertahankan tumpukan saat akun dihapus. Untuk informasi selengkapnya, lihat [Mengaktifkan atau menonaktifkan penerapan otomatis untuk in StackSets AWS Organizations](stacksets-orgs-manage-auto-deployment.md).

   ```
   aws cloudformation create-stack-set \
     --stack-set-name my-stackset \
     --template-url https://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/MyApp.template \
     --permission-model SERVICE_MANAGED \
     --auto-deployment Enabled=true,RetainStacksOnAccountRemoval=true,DependsOn=ARN1,ARN2
   ```

1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html)perintah untuk mengonfirmasi bahwa Anda StackSet telah dibuat. StackSet Yang baru Anda tercantum dalam hasil.

   ```
   aws cloudformation list-stack-sets
   ```
   + Jika Anda menetapkan `--call-as` opsi untuk `DELEGATED_ADMIN` saat masuk ke akun anggota Anda, **list-stack-sets** mengembalikan semua StackSets dengan izin yang dikelola layanan di akun manajemen organisasi.
   + Jika Anda menyetel `--call-as` opsi untuk `SELF` saat masuk Akun AWS, **list-stack-sets** kembalikan semua yang dikelola sendiri StackSets di Anda Akun AWS.
   + Jika Anda menyetel `--call-as` opsi `SELF` saat masuk ke akun manajemen organisasi, **list-stack-sets** mengembalikan semua yang ada StackSets di akun manajemen organisasi.

1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html)perintah untuk menambahkan tumpukan ke Anda StackSet. Untuk `--deployment-targets` opsi, tentukan ID root organisasi yang akan diterapkan ke semua akun di organisasi Anda. 

   Tetapkan pemrosesan akun bersamaan dan preferensi penerapan lainnya menggunakan opsi. `--operation-preferences` Contoh ini menggunakan pengaturan berbasis hitungan. Perhatikan bahwa tidak `MaxConcurrentCount` boleh melebihi `FailureToleranceCount` \$1 1. Untuk pengaturan berbasis persentase, gunakan `FailureTolerancePercentage` atau `MaxConcurrentPercentage` sebagai gantinya. 

   ```
   aws cloudformation create-stack-instances --stack-set-name my-stackset \
     --deployment-targets OrganizationalUnitIds=r-a1b2c3d4e5 \
     --regions us-west-2 us-east-1 \
     --operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
   ```

   Untuk informasi selengkapnya, lihat [CreateStackInstances](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackInstances.html) di dalam *Referensi API AWS CloudFormation *. 

1. Menggunakan `operation-id` yang dikembalikan sebagai bagian dari **create-stack-instances** output, gunakan [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html)perintah berikut untuk memverifikasi bahwa tumpukan Anda berhasil dibuat.

   ```
   aws cloudformation describe-stack-set-operation \
     --stack-set-name my-stackset \
     --operation-id operation_ID
   ```

------
#### [ Deploy to organizational units (OUs) ]

**Untuk membuat StackSet**

1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html)perintah untuk membuat StackSet nama baru`my-stackset`. Contoh berikut menggunakan template yang disimpan dalam bucket S3 dan menyertakan parameter `KeyPairName` yang menetapkan nilai `TestKey`

   ```
   aws cloudformation create-stack-set \
     --stack-set-name my-stackset \
     --template-url https://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/MyApp.template \
     --permission-model SERVICE_MANAGED \
     --parameters ParameterKey=KeyPairName,ParameterValue=TestKey
   ```

1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-stack-sets.html)perintah untuk mengonfirmasi bahwa Anda StackSet telah dibuat. StackSet Yang baru Anda tercantum dalam hasil.

   ```
   aws cloudformation list-stack-sets
   ```
   + Jika Anda menetapkan `--call-as` opsi untuk `DELEGATED_ADMIN` saat masuk ke akun anggota Anda, **list-stack-sets** mengembalikan semua StackSets dengan izin yang dikelola layanan di akun manajemen organisasi.
   + Jika Anda menyetel `--call-as` opsi untuk `SELF` saat masuk Akun AWS, **list-stack-sets** kembalikan semua yang dikelola sendiri StackSets di Anda Akun AWS.
   + Jika Anda menyetel `--call-as` opsi `SELF` saat masuk ke akun manajemen organisasi, **list-stack-sets** mengembalikan semua yang ada StackSets di akun manajemen organisasi.

1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html)perintah untuk menambahkan tumpukan ke Anda StackSet. Untuk `--deployment-targets` opsi, tentukan OU IDs yang akan digunakan.

   Tetapkan pemrosesan akun bersamaan dan preferensi penerapan lainnya menggunakan opsi. `--operation-preferences` Contoh ini menggunakan pengaturan berbasis hitungan. Perhatikan bahwa tidak `MaxConcurrentCount` boleh melebihi `FailureToleranceCount` \$1 1. Untuk pengaturan berbasis persentase, gunakan `FailureTolerancePercentage` atau `MaxConcurrentPercentage` sebagai gantinya. 

   ```
   aws cloudformation create-stack-instances --stack-set-name my-stackset \
     --deployment-targets OrganizationalUnitIds=ou-rcuk-1x5j1lwo,ou-rcuk-slr5lh0a \
     --regions us-west-2 us-east-1 \
     --operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0
   ```

   Untuk informasi selengkapnya, lihat [CreateStackInstances](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStackInstances.html) di dalam *Referensi API AWS CloudFormation *. 

1. Menggunakan `operation-id` yang dikembalikan sebagai bagian dari **create-stack-instances** output, gunakan [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/describe-stack-set-operation.html)perintah berikut untuk memverifikasi bahwa tumpukan Anda berhasil dibuat.

   ```
   aws cloudformation describe-stack-set-operation \
     --stack-set-name my-stackset \
     --operation-id operation_ID
   ```

------
#### [ Deploy to specific accounts in OUs ]

Anda dapat menargetkan unit organisasi tertentu (OUs) dan menggunakan pemfilteran akun untuk secara tepat mengontrol akun mana yang menerima penerapan tumpukan. Secara default, tumpukan disebarkan ke semua akun dalam yang ditentukan OUs jika tidak ada pemfilteran akun yang ditentukan.

Di AWS CLI, Anda menentukan pemfilteran akun dengan `--deployment-targets` opsi. Untuk informasi selengkapnya, lihat [DeploymentTargets](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeploymentTargets.html).

Setelah Anda membuat StackSet wadah dengan **create-stack-set** perintah, gunakan salah satu contoh berikut untuk menyebarkan tumpukan ke akun tertentu.

**Targetkan akun tertentu dalam OU**  
Contoh berikut menyebarkan tumpukan hanya ke akun A1 dan A2 di. OU1

```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
  --deployment-targets OrganizationalUnitIds=OU1,Accounts=A1,A2,AccountFilterType=INTERSECTION \
  --regions us-west-2 us-east-1
```

**Kecualikan akun dari OU**  
Contoh berikut menyebarkan tumpukan ke semua akun OU1 kecuali akun A1 dan A2.

```
aws cloudformation create-stack-instances --stack-set-name my-stackset \
  --deployment-targets OrganizationalUnitIds=OU1,Accounts=A1,A2,AccountFilterType=DIFFERENCE \
  --regions us-west-2 us-east-1
```

------