Criar AWS CloudFormation StackSets com permissões gerenciadas pelo serviço - AWS CloudFormation
ConsideraçõesCriar um StackSet com permissões gerenciadas pelo serviço (console)Criar um StackSet com permissões gerenciadas pelo serviço (AWS CLI)

Criar AWS CloudFormation StackSets com permissões gerenciadas pelo serviço

Com permissões gerenciadas pelo serviço, você pode implantar pilhas em contas gerenciadas pelo AWS Organizations em regiões específicas. Com esse modelo, você não precisa criar os perfis do IAM necessários. O CloudFormation criará esses perfis do IAM em seu nome. Para obter mais informações, consulte Ativar o acesso confiável.

Considerações

Antes de criar um StackSet com permissões gerenciadas pelo serviço, considere o seguinte:

  • Os StackSets com permissões gerenciadas pelo serviço são criados na conta gerencial, incluindo os StacKSets criados por administradores delegados.

  • O StackSet pode ter como destino toda a sua organização (inclui todas as contas) ou unidades organizacionais (UOs) especificadas. Se seu StackSet tiver uma UO principal como destino, ele também terá qualquer UO secundária como destino. Quando seu StackSet tem como destino UOs específicas, todas as contas dentro dessas UOs são incluídas por padrão. No entanto, você pode ter contas específicas como destino usando as opções de filtro de contas.

  • Vários StackSets podem ter como destino a mesma organização ou UO.

  • O StackSet não pode ter contas fora da organização como destino.

  • Seu StackSet não pode implantar pilhas aninhadas.

  • O CloudFormation não implanta pilhas na conta gerencial da organização, mesmo que ela esteja na sua organização ou em uma UO da sua organização.

  • A implantação automática é definida no nível do StackSet. Não é possível ajustar implantações automáticas seletivamente para OUs, contas ou regiões.

  • As permissões da entidade principal do IAM (usuário, função ou grupo) que você usa para fazer login na conta de gerenciamento determinam se você está autorizado a implantar com o StackSets. Para obter um exemplo de política do IAM que concede permissões para implantar em uma organização, consulte Restringir operações de conjunto de pilhas com base na região e nos tipos de recursos.

  • Os administradores delegados têm permissões completas para implantar em contas em sua organização. A conta gerencial não pode limitar as permissões de administrador delegado para implantar em UOs específicas ou para executar operações específicas do StackSet.

Criar um StackSet com permissões gerenciadas pelo serviço (console)

Para criar um StackSet

  1. Faça login no AWS Management Console e abra o console AWS CloudFormation em https://console.aws.amazon.com/cloudformation.

  2. Na barra de navegação na parte superior da tela, escolha a Região da AWS em que você deseja gerenciar o StackSet.

  3. No painel de navegação, escolha StackSets.

  4. Na parte superior da página StackSets, escolha Criar StackSet.

  5. Em Permissions (Permissões), escolha Service-managed permissions (Permissões gerenciadas pelo serviço).

    nota

    Se o acesso confiável com o AWS Organizations estiver desabilitado, será exibido um banner. É necessário o acesso confiável para criar ou atualizar um StackSet com permissões gerenciadas pelo serviço. Somente o administrador na conta de gerenciamento da organização tem permissões para Ativar o acesso confiável para StackSets com o AWS Organizations.

  6. Em Pré-requisito: prepare o modelo, escolha O modelo está pronto.

  7. Em Specify template (Especificar modelo), escolha especificar o URL para o bucket do S3 que contém o modelo de pilha ou fazer upload de um arquivo de modelo de pilha. Em seguida, escolha Próximo.

  8. Na página Especificar detalhes do StackSet, forneça um nome para o StackSet, especifique quaisquer parâmetros e escolha Avançar.

  9. Na página Configure StackSet options (Configurar opções do StackSet) em Tags, especifique todas as tags a serem aplicadas aos recursos em sua pilha. Para obter mais informações sobre como as tags são usadas na AWS, consulte Organizar e acompanhar custos usando tags de alocação de custos da AWS no Guia do usuário do Gerenciamento de Faturamento e Custos da AWS.

  10. Em Configuração de execução, escolha Ativo para habilitar o tratamento otimizado de operações do CloudFormation:

    • As operações não conflitantes são executadas simultaneamente para tempos de implantação mais rápidos.

    • As operações conflitantes são automaticamente colocadas em fila e processadas na ordem em que foram solicitadas.

    Quando há operações sendo executas ou na fila, o CloudFormation coloca na fila todas as operações recebidas, mesmo que elas não gerem conflitos. Você não pode alterar as configurações de execução durante esse período.

  11. Se o seu modelo contém recursos do IAM, em Recursos, escolha Eu reconheço que este modelo pode criar recursos do IAM para especificar que você deseja usar recursos do IAM no modelo. Para obter mais informações, consulte Confirmar recursos do IAM em modelos do CloudFormation.

  12. Escolha Próximo para continuar e habilitar o acesso confiável caso ainda não esteja habilitado.

  13. Na página Definir opções de implantação, em Destinos de implantação, faça o seguinte:

    • Para implantar em todas as contas em sua organização, escolha Implantar na organização.

    • Para implantar em todas as contas em OUs específicas, escolha Implantar em unidades organizacionais (OUs). Escolha Add an OU (Adicionar uma OU) e cole o ID de destino na caixa de texto. Repita para cada nova OU de destino.

    Se você escolher Implantar em unidades organizacionais (UOs), em Tipo de filtro de conta, você pode definir seus alvos de implantação como contas individuais específicas escolhendo uma das opções a seguir e fornecendo números de conta.

    • Nenhuma (padrão): implantar pilhas em todas as contas nas UOs especificadas.

    • Interseção: implantar pilhas apenas de determinadas contas individuais nas UOs selecionadas.

    • Diferença: implantar pilhas em todas as contas nas UOs selecionadas, exceto determinadas contas.

    • União: implantar pilhas nas UOs especificadas e também em contas individuais adicionais.

  14. Em Implantação automática, escolha se implantará automaticamente em contas que serão adicionadas à organização de destino ou em UOs no futuro. Para obter mais informações, consulte Habilite ou desabilite implantações automáticas de StackSets no AWS Organizations.

  15. Se você habilitou a implantação automática, em Account removal behavior (Comportamento de remoção de conta), escolha se os recursos de pilha serão retidos ou excluídos quando uma conta for removida de uma organização ou OU de destino.

    nota

    Com a opção Reter pilhas selecionada, as pilhas são removidas do StackSet, mas as pilhas e os recursos associados a elas são retidos. Os recursos permanecem em seu estado atual, mas não farão mais parte do StackSet.

  16. Em Especificar regiões, escolha as regiões nas quais você deseja implantar as pilhas.

  17. Em Opções de implantação, faça o seguinte:

    • Em Máximo de contas simultâneas, especifique quantas contas são processadas simultaneamente.

    • Em Tolerância a falhas, especifique o número máximo de falhas de conta permitidas por região. A operação será interrompida e não prosseguirá para outras regiões quando esse limite for atingido.

    • Em Simultaneidade de regiões, escolha o modo de processar as regiões: Sequencial (uma região de cada vez) ou Paralelo (várias regiões simultaneamente).

    • Em Modo de simultaneidade, escolha como a simultaneidade se comporta durante a execução de uma operação.

      • Tolerância a falhas estrita: reduz o nível de simultaneidade da conta quando ocorrem falhas, permanecendo dentro da faixa de Tolerância a falhas +1.

      • Tolerância a falhas flexível: mantém o nível de simultaneidade especificado (o valor de Máximo de contas simultâneas) a despeito de falhas.

  18. Escolha Próximo para continuar.

  19. Na página Analisar, verifique se o StackSet será implantado nas contas corretas nas regiões corretas e escolha Criar StackSet.

    A página StackSet details (Detalhes do StackSet) é aberta. Você pode visualizar o progresso e o status da criação das pilhas em seu StackSet.

Criar um StackSet com permissões gerenciadas pelo serviço (AWS CLI)

Siga as etapas nesta seção para usar o AWS CLI para:

  • Crie o contêiner do StackSet.

  • Implante instâncias de pilha.

nota

Ao atuar como um administrador delegado, você deve incluir --call-as DELEGATED_ADMIN no comando.

Deploy to your organization
Para criar um StackSet

  1. Use o comando create-stack-set para criar um novo StackSet chamado my-stackset. O exemplo a seguir usa um modelo armazenado em um bucket do S3, permite implantações automáticas e preserva as pilhas quando as contas são removidas. Para obter mais informações, consulte Habilite ou desabilite implantações automáticas de StackSets no AWS Organizations.

    aws cloudformation create-stack-set \
  --stack-set-name my-stackset \
  --template-url https://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/MyApp.template \
  --permission-model SERVICE_MANAGED \
  --auto-deployment Enabled=true,RetainStacksOnAccountRemoval=true

  2. Use o comando list-stack-sets para confirmar que seu StackSet foi criado. O novo StackSet é relacionado nos resultados.

    aws cloudformation list-stack-sets

    • Se você definir a opção --call-as como DELEGATED_ADMIN enquanto estiver na sua conta de membro, list-stack-sets retornará todas as pilhas com permissões gerenciadas pelo serviço na conta gerencial da organização.

    • Se você definir a opção --call-as como SELF enquanto estiver na sua Conta da AWS, list-stack-sets retornará todos os StackSets autogerenciados da sua Conta da AWS.

    • Se você definir a opção --call-as como SELF enquanto estiver na conta gerencial da organização, list-stack-sets retornará todas as pilhas da conta gerencial da organização.

  3. Use o comando create-stack-instances para adicionar pilhas ao seu StackSet. Para a opção --deployment-targets, especifique o ID raiz da organização para implantar em todas as contas da sua organização.

    Defina o processamento simultâneo de contas e outras preferências de implantação usando a opção --operation-preferences. Este exemplo usa configurações baseadas em contagem. Observe que MaxConcurrentCount não deve exceder FailureToleranceCount + 1. Para configurações baseadas em porcentagem, use FailureTolerancePercentage ou MaxConcurrentPercentage em vez disso. 

    aws cloudformation create-stack-instances --stack-set-name my-stackset \
  --deployment-targets OrganizationalUnitIds=r-a1b2c3d4e5 \
  --regions us-west-2 us-east-1 \
  --operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0

    Para obter mais informações, consulte CreateStackInstances na AWS CloudFormation API Reference.

  4. Usando o operation-id que foi retornado como parte da saída de create-stack-instances, use o comando describe-stack-set-operation a seguir para verificar se as pilhas foram criadas com êxito.

    aws cloudformation describe-stack-set-operation \
  --stack-set-name my-stackset \
  --operation-id operation_ID
Deploy to organizational units (OUs)
Para criar um StackSet

  1. Use o comando create-stack-set para criar um novo StackSet chamado my-stackset. O exemplo a seguir usa um modelo armazenado em um bucket do S3 e inclui um parâmetro que define um KeyPairName com o valor TestKey

    aws cloudformation create-stack-set \
  --stack-set-name my-stackset \
  --template-url https://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/MyApp.template \
  --permission-model SERVICE_MANAGED \
  --parameters ParameterKey=KeyPairName,ParameterValue=TestKey

  2. Use o comando list-stack-sets para confirmar que seu StackSet foi criado. O novo StackSet é relacionado nos resultados.

    aws cloudformation list-stack-sets

    • Se você definir a opção --call-as como DELEGATED_ADMIN enquanto estiver na sua conta de membro, list-stack-sets retornará todas as pilhas com permissões gerenciadas pelo serviço na conta gerencial da organização.

    • Se você definir a opção --call-as como SELF enquanto estiver na sua Conta da AWS, list-stack-sets retornará todos os StackSets autogerenciados da sua Conta da AWS.

    • Se você definir a opção --call-as como SELF enquanto estiver na conta gerencial da organização, list-stack-sets retornará todas as pilhas da conta gerencial da organização.

  3. Use o comando create-stack-instances para adicionar pilhas ao seu StackSet. Para a opção --deployment-targets, especifique os IDs das UOs nas quais implantar.

    Defina o processamento simultâneo de contas e outras preferências de implantação usando a opção --operation-preferences. Este exemplo usa configurações baseadas em contagem. Observe que MaxConcurrentCount não deve exceder FailureToleranceCount + 1. Para configurações baseadas em porcentagem, use FailureTolerancePercentage ou MaxConcurrentPercentage em vez disso. 

    aws cloudformation create-stack-instances --stack-set-name my-stackset \
  --deployment-targets OrganizationalUnitIds=ou-rcuk-1x5j1lwo,ou-rcuk-slr5lh0a \
  --regions us-west-2 us-east-1 \
  --operation-preferences MaxConcurrentCount=1,FailureToleranceCount=0

    Para obter mais informações, consulte CreateStackInstances na AWS CloudFormation API Reference.

  4. Usando o operation-id que foi retornado como parte da saída de create-stack-instances, use o comando describe-stack-set-operation a seguir para verificar se as pilhas foram criadas com êxito.

    aws cloudformation describe-stack-set-operation \
  --stack-set-name my-stackset \
  --operation-id operation_ID
Deploy to specific accounts in OUs

Você pode ter unidades organizacionais (UOs) específicas como destino e usar a filtragem de contas para controlar com precisão quais contas recebem implantações de pilha. Por padrão, as pilhas serão implantadas em todas as contas dentro das UOs específicas se nenhuma filtragem de contas for especificada.

Na AWS CLI, você especifica a filtragem de contas com a opção --deployment-targets. Para obter mais informações, consulte DeploymentTargets.

Depois de criar o contêiner do StackSet com o comando create-stack-set, use um dos exemplos a seguir para implantar pilhas em contas específicas.

Contas específicas como destino em uma UO

O exemplo a seguir implanta pilhas somente nas contas A1 e A2 na UO1.

aws cloudformation create-stack-instances --stack-set-name my-stackset \
  --deployment-targets OrganizationalUnitIds=OU1,Accounts=A1,A2,AccountFilterType=INTERSECTION \
  --regions us-west-2 us-east-1
Excluir contas de uma UO

O exemplo a seguir implanta pilhas em todas as contas na UO1, exceto nas contas A1 e A2.

aws cloudformation create-stack-instances --stack-set-name my-stackset \
  --deployment-targets OrganizationalUnitIds=OU1,Accounts=A1,A2,AccountFilterType=DIFFERENCE \
  --regions us-west-2 us-east-1