使用 啟用 StackSets 的受信任存取AWS Organizations - AWS CloudFormation
服務連結角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 啟用 StackSets 的受信任存取AWS Organizations

本主題說明如何使用 啟用受信任存取AWS Organizations,這是 StackSets 跨帳戶部署及使用AWS 區域服務受管許可所必需。要使用自我管理許可,請改為參閱 授與自我管理許可

建立具有服務受管許可的 StackSet 之前,您必須先完成下列任務:

  • 啟用 中的所有功能AWS Organizations。如果只啟用合併帳單功能,則無法建立具有服務受管許可的 StackSet。

  • 使用 啟用受信任存取AWS Organizations。透過此動作,可讓 CloudFormation 在管理帳戶中建立服務連結角色。啟用受信任存取後,當您建立具有服務受管許可的 StackSet 時,CloudFormation 會在目標 (會員) 帳戶中建立必要的服務連結角色和名為 stacksets-exec-* 的服務角色。

    啟用受信任存取後,管理帳戶和委派管理員帳戶可以為其組織建立和管理服務受管的 StackSets。

要啟用受信任存取,您必須是管理帳戶中的管理員使用者。管理員使用者是對您的 AWS 帳戶 具有完整許可的使用者。如需詳細資訊,請參閱《AWS 帳戶管理 參考指南》中的建立管理員使用者。如需保護管理帳戶安全的建議,請參閱《AWS Organizations 使用者指南》中的管理帳戶的最佳實務

啟用受信任存取

  1. 以管理帳戶的管理員AWS身分登入 ,並在 開啟 CloudFormation 主控台https://console.aws.amazon.com/cloudformation

  2. 從導覽窗格選擇 StackSets。如果停用受信任存取,則會顯示橫幅來提示您啟用受信任存取。

    啟用受信任存取橫幅。

  3. 選擇啟用受信任存取

    出現下列橫幅時,表示已成功啟用受信任存取。

    已成功啟用受信任存取橫幅。
    注意

    「啟動 Organizations 存取」與「啟用 Organizations 存取」相同,「停用 Organizations 存取」與「禁用 Organizations 存取」相同。這些條款已根據行銷指導方針更新。

停用受信任存取

請參閱《AWS Organizations 使用者指南》中的 CloudFormation StackSets 和 AWS Organizations

您必須先取消註冊所有委派管理員AWS Organizations,才能使用 停用受信任的存取。如需詳細資訊,請參閱註冊委派管理員

注意

如需有關使用 API 操作而非主控台來啟用或停用受信任存取的資訊,請參閱:

服務連結角色

管理帳戶使用 AWSServiceRoleForCloudFormationStackSetsOrgAdmin 服務連結角色。只有在停用 AWS Organizations 的受信任存取時,才能修改或刪除此角色。

每個目標帳戶會使用 AWSServiceRoleForCloudFormationStackSetsOrgMember 服務連結角色。您只能在兩個條件下修改或刪除此角色:如果AWS Organizations已停用 的受信任存取,或者如果帳戶已從目標組織或組織單位 (OU) 中移除。

如需詳細資訊,請參閱 AWS Organizations 使用者指南中的 CloudFormation StackSets 和 AWS Organizations