As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS CloudFormation StackSets e AWS Organizations

O CloudFormation StackSets permite criar, atualizar ou excluir pilhas em várias Contas da AWS e Regiões da AWS com uma única operação. A integração do StackSets com o AWS Organizations permite que você crie conjuntos de pilhas com permissões gerenciadas pelo serviço, usando uma função vinculada ao serviço que tenha a permissão relevante em cada conta-membro. Isso permite implantar instâncias de pilha em todas as contas-membro de sua organização. Você não tem que criar as funções do AWS Identity and Access Management necessárias; o StackSets cria a função do IAM em cada conta-membro em seu nome.

Você também pode optar por habilitar implantações automáticas nas contas que serão adicionadas à sua organização no futuro. Com a implantação automática ativada, as funções e a implantação de instâncias associadas do conjunto de pilhas são adicionadas automaticamente a todas as contas adicionadas no futuro a essa OU.

Com acesso confiável entre o StackSets e o Organizations habilitado, a conta gerencial tem permissões para criar e gerenciar conjuntos de pilhas para sua organização. A conta gerencial pode registrar até cinco contas-membro como administradores delegados. Com o acesso confiável habilitado, os administradores delegados também têm permissões para criar e gerenciar conjuntos de pilhas para sua organização. Os conjuntos de pilha com permissões gerenciadas por serviço são criados na conta gerencial, incluindo conjuntos de pilha criados por administradores delegados.

Para obter mais informações sobre como integrar o StackSets ao Organizations, consulte Trabalhar com o AWS CloudFormation StackSets no Guia do usuário do AWS CloudFormation.

Use as informações a seguir para ajudá-lo a integrar o AWS CloudFormation StackSets ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta gerencial de sua organização quando você habilita o acesso confiável. Essa função permite que os Stacksets do CloudFormation realize as operações suportadas nas contas de sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o CloudFormation e o Organizations, ou se remover a conta-membro da organização.

Para criar a função vinculada a serviço AWSServiceRoleForCloudFormationStackSetsOrgMember para as contas-membro em sua organização, primeiro é necessário criar um conjunto de pilhas na conta gerencial. Isso cria uma instância de conjunto de pilhas, que então cria a função nas contas-membro.

Para obter mais detalhes sobre a criação de conjuntos de pilhas, consulte Trabalhar com o AWS CloudFormation StackSets no Guia do usuário do AWS CloudFormation.

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo CloudFormation Stacksets concedem acesso às seguintes entidades primárias de serviço:

Habilitar o acesso confiável no CloudFormation Stacksets

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Somente um administrador da conta gerencial da organização tem permissões para habilitar o acesso confiável com outro serviço da AWS. Você pode habilitar o acesso confiável usando o console do CloudFormation ou o console do Organizations.

Você só pode habilitar o acesso confiável usando o AWS CloudFormation StackSets.

Para habilitar o acesso confiável usando o console do CloudFormation Stacksets, consulte Habilitar o acesso confiável no AWS Organizations no Guia do usuário do AWS CloudFormation.

Desabilitar o acesso confiável no CloudFormation Stacksets

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Apenas um administrador em uma conta gerencial da organização tem permissões para desabilitar o acesso confiável com outro serviço da AWS. Você pode desabilitar o acesso confiável apenas usando o console do Organizations. Se você desabilitar o acesso confiável com o Organizations enquanto estiver usando o StackSets, todas as instâncias de pilha criadas anteriormente serão mantidas. No entanto, os conjuntos de pilhas implantados usando permissões da função vinculada ao serviço não podem mais realizar implantações em contas gerenciadas pelo Organizations.

Você pode desabilitar o acesso confiável usando o console do CloudFormation ou o console do Organizations.

Você pode desabilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

Console de gerenciamento da AWS

Para desabilitar o acesso confiável usando o console do Organizations

1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.

2. No painel de navegação, escolha Serviços.

3. Selecione AWS CloudFormation StackSets na lista de serviços.

4. Escolha Desabilitar acesso confiável.

5. Na caixa de diálogo Desabilitar o acesso confiável para o AWS CloudFormation StackSets, digite desabilitar para confirmar e, em seguida, escolha Desabilitar o acesso confiável.

6. Se você for o administrador apenas do AWS Organizations, informe ao administrador do AWS CloudFormation StackSets que agora ele pode desabilitar esse serviço para trabalhar com o AWS Organizations usando as ferramentas ou o console do serviço.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

• AWS CLI: disable-aws-service-access

  Execute o comando a seguir para desabilitar o AWS CloudFormation StackSets como um serviço confiável com o Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal stacksets.cloudformation.amazonaws.com

  Esse comando não gera nenhuma saída quando é bem-sucedido.

• AWS API: DisableAWSServiceAccess

Habilitar uma conta de administrador delegado para o CloudFormation Stacksets

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e as funções dessa conta podem realizar ações administrativas para o CloudFormation Stacksets que, de outra forma, só podem ser executadas por usuários ou funções na conta gerencial da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do CloudFormation Stacksets.

Para obter instruções sobre como designar uma conta-membro como administrador delegado do CloudFormation StackSets na organização, consulte Registrar um administrador delegado no Guia do usuário do AWS CloudFormation.