# AWS Organizations を使用して StackSets のための信頼されたアクセスをアクティブ化する
このトピックには、*サービスマネージド*許可を使用して、アカウントおよび AWS リージョン 間でデプロイするために StackSets によって必要とされる信頼されたアクセスを AWS Organizations でアクティブ化する方法の手順が記載されています。*セルフマネージド*許可を使用するには、代わりに「[セルフマネージドのアクセス許可の付与](stacksets-prereqs-self-managed.md)」を参照してください。
サービスマネージド型のアクセス許可を持つ StackSet を作成する前に、まず次のタスクを実行する必要があります。
+ AWS Organizations で[すべての機能を有効にします](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。一括請求 (コンソリデーティッドビリング) 機能のみが有効になっている場合、サービスマネージド型のアクセス許可を持つ StackSet を作成することはできません。
+ AWS Organizations の信頼されたアクセスをアクティブ化します。このアクションにより、CloudFormation は管理アカウントにサービスリンクロールを作成できます。信頼されたアクセスをアクティブ化した後に、サービスマネージド型のアクセス許可を持つ StackSet を作成すると、CloudFormation は必要なサービスリンクロールと、`stacksets-exec-*` という名前のサービスロールの両方をターゲット (メンバー) アカウントに作成します。
信頼されたアクセスをアクティブ化すると、管理アカウントと委任管理者アカウントは、組織のサービスマネージド型の StackSets を作成して管理できます。
信頼されたアクセスをアクティブ化するには、管理アカウントの管理者ユーザーである必要があります。*管理者ユーザー*は、AWS アカウント に対するフルの許可を持つユーザーです。詳細については、「*AWS アカウント管理 リファレンスガイド*」の「[Create an administrator user](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html)」を参照してください。管理アカウントのセキュリティを保護するための推奨事項については、「*AWS Organizations ユーザーガイド*」の「[管理アカウントのベストプラクティス](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)」を参照してください。
**信頼されたアクセスをアクティブ化するには**
1. 管理アカウントの管理者として AWS にサインインし、[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation) で CloudFormation コンソールを開きます。
1. ナビゲーションペインから [**StackSets**] を選択します。信頼されたアクセスを非アクティブ化した場合、信頼されたアクセスを有効にするように求めるバナーが表示されます。
![\[信頼されたアクセスバナーをアクティブ化します。\]](http://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/images/console-stacksets-enable-trusted-access-from-stacksets-list-new.png)
1. **[信頼されるアクセスのアクティブ化]** を選択します。
次のバナーが表示されると、信頼されたアクセスが正常にアクティブ化になります。
![\[信頼されたアクセスは正常にバナーをアクティブ化します。\]](http://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/images/console-stackset-trusted-access-enabled-banner-new.png)
**注記**
[組織アクセスのアクティブ化] は [組織アクセスの有効化] と同じであり、[組織アクセスの非アクティブ化] は [組織アクセスの無効化] と同じです。これらの条件は、マーケティングガイドラインに基づいて更新されました。
**信頼されたアクセスを非アクティブ化する方法**
「AWS Organizations ユーザーガイド」の 「[CloudFormation StackSets と AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html)」を参照してください。
AWS Organizations を使用する信頼されたアクセスを非アクティブ化にする前、委任されたすべての管理者の登録を解除する必要があります。詳細については、「[委任された管理者の登録](stacksets-orgs-delegated-admin.md)」を参照してください。
**注記**
コンソールの代わりに API オペレーションを使用して信頼されたアクセスをアクティブ化または非アクティブ化する方法については、次を参照してください:
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html)
## サービスリンクロール
管理アカウントは、**AWSServiceRoleForCloudFormationStackSetsOrgAdmin** サービスにリンクされたロールを使用します。AWS Organizations を使用する信頼されたアクセスが非アクティブ化になっている場合のみ、このロールを変更または削除できます。
各ターゲットアカウントは、**AWSServiceRoleForCloudFormationStackSetsOrgMember** サービスにリンクされたロールを使用します。2 つの条件下 (AWS Organizations を使用する信頼されたアクセスが非アクティブ化されているか、アカウントがターゲット組織または組織単位 (OU) から削除されている場合) でのみ、このロールを変更または削除できます。
詳細については、「*AWS Organizations ユーザーガイド*」の「[CloudFormation StackSets と AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html)」を参照してください。