Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Dieses Thema enthält Anweisungen zur Aktivierung des vertrauenswürdigen Zugriffs mit AWS Organizations, der für die kontenübergreifende Bereitstellung und StackSets die AWS-Regionen Verwendung von vom Dienst verwalteten Berechtigungen erforderlich ist. Informationen zur Verwendung von selbstverwalteten Berechtigungen finden Sie stattdessen unterSelbstverwaltete Berechtigungen erteilen.
Bevor Sie ein Stack-Set mit Selbstverwaltet Berechtigungen erstellen, müssen Sie zunächst die folgenden Aufgaben ausführen:
-
Aktivieren Sie alle Funktionen in AWS Organizations. Wenn nur Funktionen für die konsolidierte Abrechnung aktiviert sind, können Sie kein Stack-Set mit vom Service verwalteten Berechtigungen erstellen.
-
Aktivieren Sie den vertrauenswürdigen Zugriff mit AWS Organizations. StackSets Erstellt nach der Aktivierung des vertrauenswürdigen Zugriffs die erforderlichen IAM Rollen im Verwaltungskonto und den Zielkonten (Mitgliedskonten) der Organisation, wenn Sie Stack-Sets mit vom Service verwalteten Berechtigungen erstellen.
Wenn der vertrauenswürdige Zugriff aktiviert ist, können über das Verwaltungskonto und delegierte Administratorkonten serviceverwaltete Stack-Sets für ihre Organisation erstellt und verwaltet werden.
Um den vertrauenswürdigen Zugriff zu aktivieren, müssen Sie ein Administratorbenutzer im Verwaltungskonto sein. Ein Administratorbenutzer ist ein Benutzer mit vollen Rechten für Ihren AWS-Konto. Weitere Informationen finden Sie im AWS Account Management Referenzhandbuch unter Einen Administratorbenutzer erstellen. Empfehlungen zum Schutz der Sicherheit des Verwaltungskontos finden Sie im AWS Organizations Benutzerhandbuch unter Bewährte Methoden für das Verwaltungskonto.
Um den vertrauenswürdigen Zugriff zu aktivieren
-
Melden Sie sich AWS als Administrator des Verwaltungskontos an und öffnen Sie die CloudFormation Konsole unterhttps://console.aws.amazon.com/cloudformation
. -
StackSets. Wenn der vertrauenswürdige Zugriff deaktiviert ist, wird ein Banner mit einer Aufforderung angezeigt, den vertrauenswürdigen Zugriff zu aktivieren.
-
Wählen Sie Vertrauenswürdigen Zugriff aktivieren aus.
Der vertrauenswürdige Zugriff ist erfolgreich aktiviert, wenn das folgende Banner angezeigt wird.
Anmerkung
„Organisationszugriff aktivieren“ ist dasselbe wie „Organisationszugriff aktivieren“ und „Organisationszugriff deaktivieren“ ist dasselbe wie „Organisationszugriff deaktivieren“. Diese Bedingungen wurden auf der Grundlage von Marketingrichtlinien aktualisiert.
Deaktivieren des vertrauenswürdigen Zugriffs
Weitere Informationen finden Sie unter AWS CloudFormation StackSets und AWS Organizations im AWS Organizations Benutzerhandbuch.
Bevor Sie den vertrauenswürdigen Zugriff mit deaktivieren können AWS Organizations, müssen Sie alle delegierten Administratoren abmelden. Weitere Informationen finden Sie unter Einen delegierten Administrator registrieren.
Anmerkung
Informationen zur Aktivierung oder Deaktivierung des vertrauenswürdigen Zugriffs mithilfe von API Vorgängen anstelle der Konsole finden Sie unter:
Service-verknüpfte Rollen
Das Verwaltungskonto verwendet die AWSServiceRoleForCloudFormationStackSetsOrgAdmindienstverknüpfte Rolle. Sie können diese Rolle nur ändern oder löschen, wenn der vertrauenswürdige Zugriff mit deaktiviert AWS Organizations ist.
Jedes Zielkonto verwendet eine AWSServiceRoleForCloudFormationStackSetsOrgMemberdienstverknüpfte Rolle. Sie können diese Rolle nur unter zwei Bedingungen ändern oder löschen: wenn der vertrauenswürdige Zugriff mit deaktiviert AWS Organizations ist oder wenn das Konto aus der Zielorganisation oder Organisationseinheit (OU) entfernt wird.
Weitere Informationen finden Sie unter AWS CloudFormation StackSets und AWS Organizations im AWS Organizations Benutzerhandbuch.
