AWS CloudFormation StackSets と AWS Organizations - AWS Organizations
サービスリンクロールサービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にする委任管理者を有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudFormation StackSets と AWS Organizations

CloudFormation StackSets を使用すると、1 回のオペレーション AWS リージョン で複数の AWS アカウント および にまたがるスタックを作成、更新、または削除できます。StackSets と AWS Organizations の統合により、サービスマネージド型のアクセス許可が付与されたスタックセットの作成が可能になります。これには、各メンバーアカウントの、関連するアクセス許可を持つサービスにリンクされたロールが使用されます。これにより、組織内のメンバーアカウントにスタックインスタンスをデプロイできるようになります。必要な AWS Identity and Access Management ロールを作成する必要はありません。StackSets はユーザーに代わって各メンバーアカウントに IAM ロールを作成します。

また、将来組織に追加されるアカウントへの自動デプロイを有効にすることもできます。自動デプロイを有効にすると、今後その OU に追加されるすべてのアカウントにロールと関連するスタックセットインスタンスのデプロイが自動的に追加されるようになります。

StackSets と Organizations 間の信頼されたアクセスが有効になっていると、管理アカウントには、組織のスタックセットを作成および管理するためのアクセス許可が与えられます。管理アカウントは、委任管理者として最大 5 つのメンバーアカウントを登録できます。信頼されたアクセスが有効になっていると、組織のスタックセットを作成および管理するためのアクセス許可が委任管理者にも付与されます。サービスマネージド型のアクセス許可を持つスタックセットは、委任された管理者によって作成されたスタックセットを含め、管理アカウントに作成されます。

重要

委任された管理者は、組織内のアカウントにデプロイするための完全なアクセス許可を持っています。管理アカウントでは、特定の OU にデプロイしたり、特定のスタックセットの操作を実行したりする、委任された管理者のアクセス許可を制限することはできません。

StackSets と Organizations の統合の詳細については、 AWS CloudFormation ユーザーガイドAWS CloudFormation StackSets の使用」を参照してください。

AWS CloudFormation StackSets を と統合するには、次の情報を使用します AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Stacksets CloudFormation は組織内のアカウント内でサポートされているオペレーションを実行できます。

このロールを削除または変更できるのは、 CloudFormation StackSets と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • 管理アカウント: AWSServiceRoleForCloudFormationStackSetsOrgAdmin

サービスにリンクされたロール AWSServiceRoleForCloudFormationStackSetsOrgMember を組織内のメンバーアカウントに作成するには、始めに管理アカウントにスタックセットを作成する必要があります。これにより、スタックセットインスタンスが作成され、メンバーアカウントにロールが作成されます。

  • メンバーアカウント: AWSServiceRoleForCloudFormationStackSetsOrgMember

スタックセットの作成の詳細については、「AWS CloudFormation ユーザーガイド」の「AWS CloudFormation StackSet の操作」を参照してください。

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。 CloudFormation Stacksets で使用されるサービスにリンクされたロールは、次のサービスプリンシパルへのアクセスを許可します。

  • 管理アカウント: stacksets.cloudformation.amazonaws.com

    このロールを変更または削除できるのは、StackSets と Organizations 間の信頼されたアクセスを無効にした場合だけです。

  • メンバーアカウント: member.org.stacksets.cloudformation.amazonaws.com

    アカウントのこのロールを変更または削除できるのは、 StackSets と Organizations 間の信頼されたアクセスが無効になっている場合か、アカウントがターゲット組織または組織単位 (OU) から削除されている場合だけです。

Stacksets CloudFormation での信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Organizations 管理アカウントの管理者のみが、別の AWS サービスで信頼されたアクセスを有効にするアクセス許可を持っています。 CloudFormation コンソールまたは Organizations コンソールを使用して、信頼されたアクセスを有効にできます。

AWS CloudFormation StackSets を使用してのみ、信頼されたアクセスを有効にできます。

CloudFormation Stacksets コンソールを使用して信頼されたアクセスを有効にするには、 AWS CloudFormation ユーザーガイドの「 で信頼されたアクセスを有効にする AWS Organizations」を参照してください。

Stacksets CloudFormation での信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Organizations 管理アカウントの管理者のみが、別の AWS サービスでの信頼されたアクセスを無効にするアクセス許可を持っています。信頼されたアクセスの無効化には、Organizations コンソールを使用する必要があります。StackSets の使用中に Organizations との信頼されたアクセスを無効にすると、以前に作成されたすべてのスタックインスタンスが保持されます。ただし、サービスにリンクされたロールのアクセス許可を使用してデプロイされたスタックセットは、Organizations によって管理されるアカウントへのデプロイを実行できなくなります。

信頼されたアクセスを無効にするには、 CloudFormation コンソールまたは Organizations コンソールを使用します。

重要

信頼されたアクセスをプログラム ( AWS CLI または API など) で無効にすると、 アクセス許可が削除されることに注意してください。 CloudFormation コンソールで信頼されたアクセスを無効にすることをお勧めします。

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

AWS マネジメントコンソール
Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS CloudFormation StackSets] を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. AWS CloudFormation StackSets の信頼されたアクセスを無効にする」ダイアログボックスで、「Disable to confirm」と入力し、「Disable trusted access」を選択します。

  6. の管理者のみの場合は AWS Organizations、 AWS CloudFormation StackSets の管理者に、そのサービスがサービスコンソールまたはツール を使用して で AWS Organizations 動作することを無効にできるようになったことを知らせます。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを無効にすることができます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行して、 AWS CloudFormation StackSets を無効にします。

    $ aws organizations disable-aws-service-access \
    --service-principal stacksets.cloudformation.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

Stacksets CloudFormation の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、 CloudFormation StackSets の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。これにより、組織の管理と Stacksets CloudFormation の管理を分離できます。

メンバーアカウントを組織の CloudFormation StackSets の委任管理者として指定する手順については、AWS CloudFormation ユーザーガイド委任された管理者の登録を参照してください。