Rôles liés à un service Principaux de service Activer l'accès approuvé Désactiver l'accès approuvé Activer un administrateur délégué

AWS CloudFormation StackSets et AWS Organizations

AWS CloudFormation StackSets vous permet de créer, de mettre à jour ou de supprimer des piles sur plusieurs piles Comptes AWS Régions AWS en une seule opération. StackSets l'intégration avec vous AWS Organizations permet de créer des ensembles de piles avec des autorisations gérées par le service, en utilisant un rôle lié au service disposant de l'autorisation appropriée dans chaque compte membre. Cela vous permet de déployer des instances de piles sur tous les comptes de votre organisation. Vous n'êtes pas obligé de créer les AWS Identity and Access Management rôles nécessaires ; il StackSets crée le IAM rôle dans chaque compte membre en votre nom.

Vous pouvez également choisir d'activer les déploiements automatiques sur les comptes qui sont ajoutés ultérieurement à votre organisation. Lorsque le déploiement automatique est activé, les rôles et le déploiement des instances de l'ensemble de piles associées sont automatiquement ajoutés à tous les comptes ajoutés à l'avenir à cette unité d'organisation.

Lorsque l'accès sécurisé entre StackSets organisations est activé, le compte de gestion est autorisé à créer et à gérer des ensembles de piles pour votre organisation. Le compte de gestion peut enregistrer jusqu'à cinq comptes membres en tant qu'administrateurs délégués. Lorsque l'accès approuvé est activé, les administrateurs délégués disposent également des autorisations pour créer et gérer des ensembles de piles pour votre organisation. Les ensembles de piles dotés d'autorisations gérées par le service sont créés dans le compte de gestion, y compris les ensembles de piles créés par des administrateurs délégués.

Important

Les administrateurs délégués disposent des autorisations complètes pour un déploiement dans les comptes de votre organisation. Le compte de gestion ne peut pas limiter les autorisations d'administrateur déléguées pour effectuer des OUs déploiements ou des opérations spécifiques sur des ensembles de piles spécifiques.

Pour plus d'informations sur l'intégration StackSets à Organizations, voir Working with AWS CloudFormation StackSets dans le guide de AWS CloudFormation l'utilisateur.

Utilisez les informations suivantes pour vous aider AWS CloudFormation StackSets à intégrer AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié à un service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à AWS CloudFormation Stacksets d'effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre AWS CloudFormation StackSets et Organizations, ou si vous supprimez le compte membre de l'organisation.

Compte de gestion : AWSServiceRoleForCloudFormationStackSetsOrgAdmin

Pour créer le rôle lié à un service AWSServiceRoleForCloudFormationStackSetsOrgMember pour les comptes membres de votre organisation, vous devez d'abord créer un ensemble de piles dans le compte de gestion. Cela crée une instance d'ensemble de piles, qui crée ensuite le rôle dans les comptes membres.

Comptes membres : AWSServiceRoleForCloudFormationStackSetsOrgMember

Pour plus de détails sur la création d'ensembles de piles, consultez la section AWS CloudFormation StackSets Utilisation du guide de AWS CloudFormation l'utilisateur.

Principaux de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par les AWS CloudFormation Stacksets donnent accès aux principaux de service suivants :

Compte de gestion : stacksets.cloudformation.amazonaws.com

Vous pouvez modifier ou supprimer ce rôle uniquement si vous avez désactivé l'accès sécurisé entre StackSets et Organizations.
Comptes membres : member.org.stacksets.cloudformation.amazonaws.com

Vous pouvez modifier ou supprimer ce rôle d'un compte uniquement si vous désactivez d'abord l'accès sécurisé entre StackSets et Organizations, ou si vous supprimez d'abord le compte de l'organisation ou de l'unité organisationnelle (UO) cible.

Activation de l'accès approuvé avec AWS CloudFormation StackSets

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Seul un administrateur du compte de gestion des Organisations est autorisé à activer un accès sécurisé avec un autre AWS service. Vous pouvez activer l'accès approuvé à l'aide de la console AWS CloudFormation ou de la console Organizations.

Vous ne pouvez activer l'accès sécurisé qu'à l'aide de AWS CloudFormation StackSets.

Pour activer l'accès sécurisé à l'aide de la console AWS CloudFormation Stacksets, voir Activer l'accès sécurisé avec AWS Organizations dans le guide de l' AWS CloudFormation utilisateur.

Désactivation de l'accès approuvé avec AWS CloudFormation StackSets

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.

Seul un administrateur d'un compte de gestion d'Organizations est autorisé à désactiver l'accès sécurisé à un autre AWS service. Vous pouvez désactiver l'accès approuvé uniquement avec la console Organizations. Si vous désactivez l'accès sécurisé auprès d'Organizations pendant que vous l'utilisez StackSets, toutes les instances de pile créées précédemment sont conservées. Toutefois, les ensembles de piles déployés à l'aide des autorisations du rôle lié à un service ne peuvent plus effectuer de déploiements sur des comptes gérés par Organizations.

Vous pouvez désactiver l'accès sécurisé à l'aide de la AWS CloudFormation console ou de la console Organizations.

Important

Si vous désactivez l'accès sécurisé par programme (par exemple avec AWS CLI ou avec unAPI), sachez que cela supprimera l'autorisation. Il est préférable de désactiver l'accès sécurisé avec la AWS CloudFormation console.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une API opération Organizations dans l'un des AWS SDKs.

AWS Management Console

Pour désactiver l'accès approuvé à l'aide de la console Organizations

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans le panneau de navigation, choisissez Services.
Choisissez AWS CloudFormation StackSetsdans la liste des services.
Choisissez Disable trusted access (Désactiver l'accès approuvé).
Dans la boîte de AWS CloudFormation StackSets dialogue Désactiver l'accès sécurisé pour, tapez désactiver pour confirmer, puis choisissez Désactiver l'accès sécurisé.
Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS CloudFormation StackSets qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

AWS CLI, AWS API

Pour désactiver l'accès aux services sécurisés à l'aide des OrganizationsCLI/SDK

Vous pouvez utiliser les AWS CLI commandes ou API opérations suivantes pour désactiver l'accès aux services sécurisés :

AWS CLI: disable-aws-service-access

Exécutez la commande suivante pour le désactiver AWS CloudFormation StackSets en tant que service sécurisé auprès des Organizations.
```
$ aws organizations disable-aws-service-access \
    --service-principal stacksets.cloudformation.amazonaws.com
```
Cette commande ne produit aucune sortie lorsqu'elle réussit.
AWS API: isableAWSService Accès

Activation d'un compte d'administrateur délégué pour les AWS CloudFormation Stacksets

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour AWS CloudFormation Stacksets qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous permet de séparer la gestion de l'organisation de la gestion des AWS CloudFormation Stacksets.

Pour obtenir des instructions sur la façon de désigner un compte membre en tant qu'administrateur délégué d' AWS CloudFormation StackSets dans l'organisation, consultez Enregistrer un administrateur délégué dans le Guide de l'utilisateur AWS CloudFormation .

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Billing and Cost Management

AWS CloudTrail