# Ativar o acesso confiável para StackSets com o AWS Organizations
<a name="stacksets-orgs-activate-trusted-access"></a>

Este tópico fornece instruções sobre como ativar o acesso confiável com o AWS Organizations, que é requerido pelo StackSets para realizar implantações em contas e em Regiões da AWS usando permissões *gerenciadas pelo serviço*. Para usar permissões *autogerenciadas*, consulte [Conceder permissões autogerenciadas](stacksets-prereqs-self-managed.md).

Antes de criar um StackSet com permissões gerenciadas pelo serviço, você deve primeiro concluir as seguintes tarefas:
+ [Habilitar todos os recursos](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) no AWS Organizations. Apenas com os recursos de faturamento consolidado habilitados, não é possível criar um StackSet com permissões gerenciadas pelo serviço.
+ Ativa o acesso confiável com AWS Organizations. Essa ação permite que o CloudFormation crie um perfil vinculado ao serviço na conta de gerenciamento. Depois que o acesso confiável é ativado, quando você cria um StackSet com permissões gerenciadas pelo serviço, o CloudFormation cria tanto o perfil vinculado ao serviço necessário quanto um perfil de serviço denominado `stacksets-exec-*` nas contas de destino (membro).

  Com o acesso confiável ativado, a conta gerencial e as contas de administrador delegado podem criar e gerenciar StackSets gerenciados pelo serviço para sua organização.

Para ativar o acesso confiável, você deve ser um usuário administrador na conta de gerenciamento. Um *usuário administrador* é um usuário que tem todas as permissões em sua conta da Conta da AWS. Para obter mais informações, consulte [Criar um usuário administrador](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html) no *Guia de administração do AWS Gerenciamento de contas*. Para obter recomendações para proteger a segurança da conta de gerenciamento, consulte [Práticas recomendadas para a conta de gerenciamento](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) no *Manual do usuário do AWS Organizations*.

**Para ativar o acesso confiável**

1. Faça login na AWS como administrador da conta de gerenciamento e abra o console do CloudFormation em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation).

1. No painel de navegação, escolha **StackSets**. Se o acesso confiável estiver desativado, um banner será exibido solicitando que você ative o acesso confiável.  
![\[Ativa o banner de acesso confiável.\]](http://docs.aws.amazon.com/pt_br/AWSCloudFormation/latest/UserGuide/images/console-stacksets-enable-trusted-access-from-stacksets-list-new.png)

1. Escolha **Ativar acesso confiável**.

   O acesso confiável será ativado com êxito quando o banner a seguir for exibido.  
![\[Banner de acesso confiável ativado com sucesso.\]](http://docs.aws.amazon.com/pt_br/AWSCloudFormation/latest/UserGuide/images/console-stackset-trusted-access-enabled-banner-new.png)
**nota**  
Ativar o acesso às organizações é o mesmo que Habilitar o acesso às organizações, e Desativar o acesso às organizações é o mesmo que Desabilitar o acesso às organizações. Esses termos foram atualizados com base nas diretrizes de marketing. 

**Para desativar o acesso confiável**  
Consulte [CloudFormation StackSets e AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) no *Guia do usuário do AWS Organizations*.

Antes de desativar o acesso confiável com o AWS Organizations, você deve cancelar o registro de todos os administradores delegados. Para obter mais informações, consulte [Registro de um administrador delegado](stacksets-orgs-delegated-admin.md).

**nota**  
Para obter informações sobre o uso de operações de API em vez do console para ativar ou desativar o acesso confiável, consulte:  
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html)

## Perfis vinculados ao serviço
<a name="stacksets-orgs-service-linked-roles"></a>

A conta de gerenciamento usa o perfil vinculado ao serviço **AWSServiceRoleForCloudFormationStackSetsOrgAdmin**. Você só poderá modificar ou excluir esse perfil se o acesso confiável com o AWS Organizations estiver desativado. 

Cada conta de destino usa um perfil vinculado ao serviço **AWSServiceRoleForCloudFormationStackSetsOrgMember**. Você poderá modificar ou excluir esse perfil apenas com duas condições: se o acesso confiável com o AWS Organizations estiver desativado ou se a conta for removida da organização de destino ou da unidade organizacional (UO).

Para mais informações, consulte [CloudFormation StackSetsAWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) no * Guia do usuário do AWS Organizations*.