Habilitar as políticas padrão do Amazon Data Lifecycle Manager em várias contas e regiões - Amazon EBS

Habilitar as políticas padrão do Amazon Data Lifecycle Manager em várias contas e regiões

Usando o StackSets do CloudFormation, você pode habilitar as políticas padrão do Amazon Data Lifecycle Manager em várias contas e regiões da AWS com uma única operação.

Você pode usar conjuntos de pilhas para habilitar políticas padrão de uma das seguintes maneiras:

  • Em toda a organização da AWS: garante que as políticas padrão sejam habilitadas e configuradas de modo consistente em toda uma organização da AWS ou em unidades organizacionais específicas de uma organização. Isso é feito usando permissões gerenciadas pelo serviço. CloudFormation O StackSets cria para você os perfis do IAM necessários.

  • Em contas específicas da AWS: garante que as políticas padrão sejam habilitas e configuradas de modo consistente em contas de destino específicas. Isso requer permissões autogerenciadas. Você cria os perfis do IAM necessários para estabelecer a relação de confiança entre a conta do administrador do conjunto de pilhas e as contas de destino.

Para obter mais informações, consulte Modelos de permissões para conjuntos de pilhas no Guia do usuário do AWS CloudFormation.

Use os procedimentos a seguir para habilitar as políticas padrão do Amazon Data Lifecycle Manager em toda uma organização da AWS, em unidades organizacionais específicas ou contas de destino específicas.

Pré-requisitos

Dependendo de como você estiver habilitando as políticas padrão, faça uma das seguintes alternativas:

Console
Para habilitar as políticas padrão em toda uma organização da AWS ou em contas de destino específicas

  1. Abra o console do CloudFormation em https://console.aws.amazon.com/cloudformation.

  2. No painel de navegação, selecione StackSets e depois Criar StackSet.

  3. Em Permissões, dependendo de como você estiver habilitando as políticas padrão, faça uma das seguintes alternativas:

    • (Em toda a organização da AWS) Escolha as Permissões gerenciadas pelo serviço.

    • (Em contas de destino específicas) Escolha Permissões de autoatendimento. Em seguida, em ARN do perfil de administrador do IAM, selecione o perfil de serviço do IAM que você criou para a conta do administrador e, em Nome do perfil de execução do IAM, insira o nome do perfil de serviço do IAM que você criou nas contas de destino.

  4. Em Preparar modelo, escolha Usar um exemplo de modelo.

  5. Em Exemplos de modelo, faça uma das seguintes alternativas:

    • (Política padrão para snapshots do EBS) Selecione Criar políticas padrão do Amazon Data Lifecycle Manager para snapshots do EBS.

    • (Política padrão para AMIs baseadas do EBS) Selecione Criar políticas padrão do Amazon Data Lifecycle Manager para AMIs baseadas no EBS.

  6. Escolha Próximo.

  7. Em Nome do StackSet e Descrição do StackSet, insira um nome descritivo e uma breve descrição.

  8. Na seção Parâmetros, defina as configurações de política padrão conforme necessário.

    nota

    Para workloads críticas, recomendamos CreateInterval = 1 dia e RetainInterval = 7 dias.

  9. Escolha Próximo.

  10. (Opcional) Em Tags, especifique tags para ajudar você a identificar o StackSet e os recursos de pilha.

  11. Em Execução gerenciada, escolha Ativa.

  12. Escolha Próximo.

  13. Em Add stacks to stack set (Adicionar pilhas ao conjunto de pilhas), escolha Deploy new stacks (Implantar novas pilhas).

  14. Dependendo de como você estiver habilitando as políticas padrão, faça uma das seguintes alternativas:

    • (Em toda a organização da AWS) Em Destinos de implantação, escolha uma das seguintes opções:

      • Para implantar em toda a organização da AWS, escolha Implantar na organização.

      • Para implantar em unidades organizacionais (UO) específicas, escolha Implantar em unidades organizacionais e em ID da UO, insira o ID da UO. Para adicionar UOs , escolha Adicionar outra UO.

    • (Para contas de destino específicas) Em Contas, faça uma das seguintes alternativas:

      • Para implantar em contas de destino específicas, escolha Implantar pilhas em contas e, em Números de conta, insira os IDs das contas de destino.

      • Para implantar em todas as contas em uma UO específica, escolha Implantar pilha em todas as contas de uma unidade organizacional e, em Números de organização, insira o ID da UO de destino.

  15. Em Implantação automática, escolha Ativada.

  16. Em Comportamento de remoção de conta, escolha Reter pilhas.

  17. Em Especificar regiões, selecione as regiões específicas nas quais habilitar as políticas padrão ou escolha Adicionar todas as regiões para habilitar as políticas padrão em todas as regiões.

  18. Escolha Próximo.

  19. Revise as configurações de conjunto de pilhas, selecione Reconheço que a CloudFormation pode criar recursos do IAM e escolha Enviar.

AWS CLI
Para habilitar as políticas padrão em uma organização da AWS

  1. Crie o conjunto de pilhas. Use o comando create-stack-set.

    Para --permission-model, especifique SERVICE_MANAGED.

    Em --template-url, especifique uma das seguintes URLs de modelo:

    • (Políticas padrão para AMIs baseadas no EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (Políticas padrão para snapshots do EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    Em --parameters, especifique as configurações das políticas padrão. Para obter os parâmetros compatíveis, as descrições de parâmetros e os valores válidos, baixe o modelo usando o URL e depois visualize o modelo usando um editor de texto.

    Para --auto-deployment, especifique Enabled=true, RetainStacksOnAccountRemoval=true.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--permission-model SERVICE_MANAGED \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. Implante o conjunto de pilhas. Use o comando create-stack-instances.

    Em --stack-set-name, especifique o nome do conjunto de pilhas que você criou na etapa anterior.

    Em --deployment-targets OrganizationalUnitIds, especifique o ID da UO raiz a ser implantada em toda uma organização ou os IDs da OU a ser implantada em UOs específicas da organização.

    Em --regions, especifique as regiões da AWS nas quais habilitar as políticas padrão.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--deployment-targets OrganizationalUnitIds='["root_ou_id"]' | '["ou_id_1", "ou_id_2]' \
--regions '["region_1", "region_2"]'
Para habilitar as políticas padrão em contas de destino específicas

  1. Crie o conjunto de pilhas. Use o comando create-stack-set.

    Em --template-url, especifique uma das seguintes URLs de modelo:

    • (Políticas padrão para AMIs baseadas no EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

    • (Políticas padrão para snapshots do EBS) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

    Em --administration-role-arn, especifique o ARN do perfil de serviço do IAM que você criou anteriormente para o administrador do conjunto de pilhas.

    Em --execution-role-name, especifique o nome do perfil de serviço do IAM que você criou nas contas de destino.

    Em --parameters, especifique as configurações das políticas padrão. Para obter os parâmetros compatíveis, as descrições de parâmetros e os valores válidos, baixe o modelo usando o URL e depois visualize o modelo usando um editor de texto.

    Para --auto-deployment, especifique Enabled=true, RetainStacksOnAccountRemoval=true.

    $ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--administration-role-arn administrator_role_arn \
--execution-role-name target_account_role \									
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

  2. Implante o conjunto de pilhas. Use o comando create-stack-instances.

    Em --stack-set-name, especifique o nome do conjunto de pilhas que você criou na etapa anterior.

    Em --accounts, especifique os IDs das contas da AWS de destino.

    Em --regions, especifique as regiões da AWS nas quais habilitar as políticas padrão.

    $ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--accounts '["account_ID_1","account_ID_2"]' \
--regions '["region_1", "region_2"]'