Buat set tumpukan - AWS CloudFormation
Buat set tumpukan dengan izin yang dikelola sendiriBuat set tumpukan dengan izin yang dikelola layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat set tumpukan

Anda dapat membuat kumpulan tumpukan menggunakan AWS Management Console atau menggunakan AWS CloudFormation perintah di AWS CLI. Anda dapat membuat set tumpukan baik dengan izin self-managed atau service-managed.

Dengan self-managed izin, Anda dapat menerapkan instance tumpukan ke spesifik Akun AWS di Wilayah tertentu. Untuk melakukan ini, Anda harus terlebih dahulu membuat peran IAM yang diperlukan untuk membangun hubungan tepercaya antara akun tempat Anda mengelola kumpulan tumpukan dan akun tempat Anda menerapkan instance tumpukan.

Dengan service-managed izin, Anda dapat menerapkan instance tumpukan ke akun yang dikelola oleh AWS Organizations di Wilayah tertentu. Dengan model ini, Anda tidak perlu membuat peran IAM yang diperlukan; StackSets membuat peran IAM atas nama Anda. Anda juga dapat mengaktifkan deployment otomatis ke akun yang ditambahkan ke organisasi target atau unit organisasi (OU) di masa mendatang. Dengan penerapan otomatis diaktifkan, StackSets secara otomatis menghapus instance tumpukan dari akun jika dihapus dari organisasi target atau OU.

Buat set tumpukan dengan izin yang dikelola sendiri

Buat kumpulan tumpukan dengan izin yang dikelola sendiri menggunakan AWS Management Console

  1. Buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

  2. Dari panel navigasi, pilih StackSets.

  3. Di bagian atas StackSetshalaman, pilih Buat StackSet.

  4. Dalam Prasyarat - Siapkan templat, pilih Gunakan templat sampel.

  5. Di bawah Pilih template sampel, dari menu drop-down pilih Enable AWS config template. Pilih Selanjutnya.

    StackSets sampel Aktifkan AWS Config template

  6. Pada halaman Tentukan StackSet detail, berikan informasi berikut.

    1. Berikan nama untuk set tumpukan. Nama set tumpukan harus dimulai dengan karakter abjad, dan hanya berisi huruf, angka, dan tanda hubung. Dalam panduan ini, kita menggunakan nama my-awsconfig-stackset.

    2. Anda diminta untuk menentukan nilai untuk parameter yang digunakan oleh AWS Config. Untuk informasi selengkapnya tentang parameter ini, lihat Menyiapkan AWS Config dengan konsol di Panduan AWS Config Pengembang. Dalam panduan ini, kita akan membiarkan pengaturan default untuk semua parameter AWS Config .

    3. Anda dapat mengonfigurasi pembaruan Amazon Simple Notification Service (SNS) melalui email, berdasarkan konten log, menggunakan TopCarn dan parameter. NotificationEmail Untuk keperluan panduan ini, kami tidak mengonfigurasi pembaruan Amazon SNS.

    4. Anda dapat mengonfigurasi saluran pengiriman untuk pembaruan dan pemberitahuan menggunakan parameter DeliveryChannelNamedan Frekuensi. Untuk informasi selengkapnya tentang saluran pengiriman AWS Config, lihat Mengelola saluran pengiriman di Panduan AWS Config Pengembang. Untuk tujuan panduan ini, kita membiarkan pengaturan default di area ini.

  7. Ketika Anda selesai menentukan parameter untuk AWS Config, pilih Berikutnya.

  8. Pada halaman Configure StackSet options, tambahkan tag dengan menentukan pasangan kunci dan nilai. Dalam panduan ini, kita membuat tanda yang disebut Tahap, dengan nilai Uji. Tanda yang Anda terapkan ke set tumpukan diterapkan untuk semua sumber daya yang dibuat oleh tumpukan Anda. Untuk informasi selengkapnya tentang cara tag digunakan AWS, lihat Menggunakan tag alokasi biaya di Panduan AWS Billing and Cost Management Pengguna.

    Biarkan Izin tidak ditentukan.

  9. Untuk konfigurasi Eksekusi, pilih Aktif sehingga StackSets melakukan operasi yang tidak bertentangan secara bersamaan dan antrian operasi yang bertentangan. Setelah operasi yang saling bertentangan selesai, StackSets mulai operasi antrian dalam urutan permintaan.

    catatan

    Jika sudah ada operasi yang berjalan atau antrian, StackSets antrian semua operasi yang masuk meskipun tidak bertentangan.

    Anda tidak dapat memodifikasi konfigurasi eksekusi set tumpukan Anda saat ada operasi berjalan atau antrian untuk kumpulan tumpukan itu.

  10. Pilih Selanjutnya.

  11. Pada halaman Atur opsi deployment, berikan akun dan Wilayah tempat Anda ingin tumpukan di set tumpukan Anda di-deploy.

    AWS CloudFormation akan menyebarkan tumpukan di akun yang ditentukan dalam Wilayah pertama, lalu beralih ke yang berikutnya, dan seterusnya, selama kegagalan penerapan Wilayah tidak melebihi toleransi kegagalan yang ditentukan.

    1. Untuk Akun, pilih Deploy tumpukan di akun. Tempelkan angka akun target Anda di kotak teks, pisahkan beberapa angka dengan koma.

    2. Untuk Tentukan wilayah, pilih Wilayah AS Timur (Virginia Utara). Ulangi untuk Wilayah Barat AS (Oregon). Pilih panah atas di sebelah Wilayah AS Barat (Oregon) untuk memindahkannya menjadi entri pertama dalam daftar. Urutan Wilayah dalam Tentukan wilayah menentukan urutan deployment mereka.

    3. Untuk Opsi deployment:

      • Untuk akun bersamaan maksimum, pertahankan default Number dan 1.

        Ini berarti bahwa AWS CloudFormation menyebarkan tumpukan Anda hanya dalam satu akun pada satu waktu.

      • UntukToleransi kegagalan, jaga agar default tetap Angka dan 0.

        Ini berarti bahwa maksimum satu penyebaran tumpukan dapat gagal di salah satu Wilayah yang Anda tentukan sebelum AWS CloudFormation menghentikan penerapan di Wilayah saat ini, dan membatalkan penerapan di Wilayah yang tersisa.

    4. Untuk Konkurensi wilayah:

      • Pilih Sequential atau Parallel untuk menentukan urutan StackSets penerapan untuk Wilayah tertentu. Secara default, Berurutan dipilih.

      Pilih Selanjutnya.

    Atur halaman Opsi Deployment

  12. Pada halaman Tinjau, tinjau pilihan Anda dan properti set tumpukan Anda. Untuk membuat perubahan, pilih Edit di area tempat Anda ingin mengubah properti. Sebelum Anda dapat membuat kumpulan tumpukan, Anda harus mengisi kotak centang di area Kemampuan untuk mengetahui bahwa beberapa sumber daya yang Anda buat dengan kumpulan tumpukan mungkin memerlukan sumber daya dan izin IAM baru. Untuk informasi selengkapnya tentang izin yang berpotensi diperlukan, lihatMengakui IAM sumber daya dalam templat AWS CloudFormation. Ketika Anda siap untuk membuat set tumpukan Anda, pilih Kirim.

    Akui kemampuan yang diperlukan

  13. AWS CloudFormation mulai membuat set tumpukan Anda. Lihat kemajuan dan status pembuatan tumpukan di set tumpukan Anda di halaman detail set tumpukan yang terbuka saat Anda memilih Kirim.

    Tab operasi dari halaman StackSets detail

Buat kumpulan tumpukan dengan izin yang dikelola sendiri menggunakan AWS CLI

Saat Anda membuat kumpulan tumpukan dengan menggunakan AWS CLI perintah, Anda menjalankan dua perintah terpisah: create-stack-set untuk mengunggah template Anda dan membuat wadah set tumpukan, dan create-stack-instances untuk membuat tumpukan dalam kumpulan tumpukan Anda. Mulailah dengan menjalankan AWS CLI perintah,create-stack-set, untuk mengunggah AWS CloudFormation template sampel yang memungkinkan AWS Config, dan kemudian mulai pembuatan set tumpukan.

  1. Buka AWS CLI.

  2. Jalankan perintah berikut.

    Untuk --template-url parameternya, berikan URL bucket Amazon S3 tempat Anda menyimpan template Anda. Untuk panduan ini, kita menggunakan my-awsconfig-stackset sebagai nilai parameter --stack-set-name. Kami juga mengaktifkan --managed-execution sehingga StackSets melakukan operasi yang tidak bertentangan secara bersamaan dan antrian operasi yang saling bertentangan. Setelah operasi yang saling bertentangan selesai, StackSets mulai operasi antrian dalam urutan permintaan.

    catatan

    Jika sudah ada operasi yang berjalan atau antrian, StackSets antrian semua operasi yang masuk meskipun tidak bertentangan.

    Anda tidak dapat memodifikasi konfigurasi eksekusi set tumpukan Anda saat ada operasi berjalan atau antrian untuk kumpulan tumpukan itu.

    aws cloudformation create-stack-set \
  --stack-set-name my-awsconfig-stackset \
  --template-url https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/EnableAWSConfig.yml

  3. Setelah perintah create-stack-set Anda selesai, jalankan perintah list-stack-sets untuk melihat bahwa set tumpukan Anda telah dibuat. Anda akan melihat set tumpukan baru Anda set di hasil.

    aws cloudformation list-stack-sets

  4. Jalankan perintah create-stack-instances AWS CLI untuk menambahkan instans tumpukan ke set tumpukan Anda. Dalam panduan ini, kita menggunakan us-west-2 dan us-east-1 sebagai nilai parameter --regions.

    Atur toleransi kegagalan dan akun bersamaan maksimum dengan mengatur FailureToleranceCount ke 0 dan MaxConcurrentCount ke 1 dalam parameter --operation-preferences, seperti yang ditunjukkan dalam contoh berikut. Untuk menerapkan persentase, gunakan FailureTolerancePercentage atau MaxConcurrentPercentage. Untuk tujuan panduan ini, kita menggunakan jumlah, bukan persentase.

    catatan

    Nilai MaxConcurrentCount tergantung pada nilai FailureToleranceCount. MaxConcurrentCount paling banyak satu lebih dari FailureToleranceCount.

    aws cloudformation create-stack-instances \
  --stack-set-name my-awsconfig-stackset \
  --accounts '["account_ID_1","account_ID_2"]' \
  --regions '["region_1","region_2"]' \
  --operation-preferences FailureToleranceCount=0,MaxConcurrentCount=1
    catatan

    Konkurensi penerapan StackSet instance dalam operasi tergantung pada nilai FailureToleranceCount-MaxConcurrentCount dan paling banyak satu lebih dari. FailureToleranceCount

    penting

    Tunggu sampai operasi selesai sebelum memulai yang lain. Anda hanya dapat menjalankan satu operasi dalam satu waktu.

  5. Verifikasi bahwa instans tumpukan berhasil dibuat. Jalankan DescribeStackSetOperation dengan operation-id yang dikembalikan sebagai bagian dari output langkah 4.

    aws cloudformation describe-stack-set-operation \
  --stack-set-name my-awsconfig-stackset \
  --operation-id operation_ID

Buat set tumpukan dengan izin yang dikelola layanan

Pertimbangan saat membuat set tumpukan dengan izin yang dikelola layanan

Sebelum Anda membuat set tumpukan dengan izin yang dikelola layanan, pertimbangkan hal berikut:

  • Set tumpukan dengan izin yang dikelola layanan dibuat di akun manajemen, termasuk set tumpukan yang dibuat oleh administrator yang didelegasikan.

  • Set tumpukan Anda dapat menargetkan seluruh organisasi Anda atau unit organisasi tertentu (OU). Jika set tumpukan Anda menargetkan organisasi Anda, set tumpukan tersebut juga menargetkan semua akun di semua OU di organisasi. Jika target set tumpukan Anda ditentukan OU, target set tumpukan tersebut juga menargetkan semua akun di OU tersebut.

  • Jika set tumpukan Anda menargetkan OU induk, set tumpukan juga menargetkan OU anak.

  • Beberapa set tumpukan dapat menargetkan organisasi atau OU yang sama.

  • Set tumpukan Anda tidak dapat menargetkan akun di luar organisasi Anda.

  • Set tumpukan Anda tidak dapat men-deploy tumpukan nest.

  • StackSets tidak menyebarkan instance tumpukan ke akun manajemen organisasi, meskipun akun manajemen ada di organisasi Anda atau di OU di organisasi Anda.

  • Deployment otomatis diatur pada tingkat set tumpukan. Anda tidak dapat menyesuaikan deployment otomatis secara selektif untuk OU, akun, atau Wilayah.

  • Izin entitas utama IAM (pengguna, peran, atau grup) yang Anda gunakan untuk masuk ke akun manajemen menentukan apakah Anda berwenang untuk menggunakan. StackSets Untuk contoh kebijakan IAM yang memberikan izin untuk diterapkan ke organisasi, lihat. Contoh kebijakan yang memberikan izin set tumpukan yang dikelola layanan

  • Administrator yang didelegasikan memiliki izin penuh untuk men-deploy ke akun di organisasi Anda. Akun manajemen tidak dapat membatasi izin administrator yang didelegasikan untuk men-deploy ke OU tertentu atau untuk melakukan operasi set tumpukan tertentu.

Buat kumpulan tumpukan dengan izin yang dikelola layanan menggunakan konsol AWS CloudFormation

  1. Buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

  2. Dari panel navigasi, pilih StackSets.

  3. Di bagian atas StackSetshalaman, pilih Buat StackSet.

  4. Dalam Siapkan templat, pilih Templat sudah siap.

  5. Dalam Tentukan templat, pilih untuk menentukan URL untuk bucket S3 yang berisi templat tumpukan Anda atau unggah file templat tumpukan. Pilih Selanjutnya.

  6. Pada halaman Tentukan StackSet detail, berikan nama untuk kumpulan tumpukan, tentukan parameter apa pun, lalu pilih Berikutnya.

  7. Pada halaman Konfigurasi StackSet opsi, di bawah Tag, tentukan tag apa pun yang akan diterapkan ke sumber daya di tumpukan Anda.

  8. Dalam Izin, pilih Izin yang dikelola layanan.

    Jika akses tepercaya dengan AWS Organizations dinonaktifkan, spanduk akan ditampilkan. Akses tepercaya diperlukan untuk membuat atau memperbarui set tumpukan dengan izin yang dikelola layanan. Hanya administrator di akun manajemen organisasi yang memiliki izin untukAktifkan akses tepercaya dengan AWS Organizations.

    Aktifkan spanduk akses tepercaya.

  9. Untuk konfigurasi Eksekusi, pilih Aktif sehingga StackSets melakukan operasi yang tidak bertentangan secara bersamaan dan antrian operasi yang bertentangan. Setelah operasi yang saling bertentangan selesai, StackSets mulai operasi antrian dalam urutan permintaan.

    catatan

    Jika sudah ada operasi yang berjalan atau antrian, StackSets antrian semua operasi yang masuk meskipun tidak bertentangan.

    Anda tidak dapat memodifikasi konfigurasi eksekusi set tumpukan Anda saat ada operasi berjalan atau antrian untuk kumpulan tumpukan itu.

  10. Pilih Berikutnya untuk melanjutkan dan mengaktifkan akses tepercaya jika belum diaktifkan.

  11. Pada halaman Atur opsi deployment, dalam Target deployment, pilih akun di organisasi Anda untuk men-deploy.

    • Pilih Deploy ke organisasi untuk men-deploy ke semua akun di organisasi Anda.

      Gunakan instans tumpukan ke semua akun di organisasi Anda.

    • Pilih Deploy ke unit organisasi (OU) untuk men-deploy ke semua akun di OU tertentu. Pilih Tambahkan OU, dan kemudian tempelkan ID OU target dalam kotak teks. Ulangi untuk setiap OU target baru.

      Deploy instans tumpukan ke semua akun di OU yang dipilih dalam organisasi Anda.

  12. Di bawah Penerapan otomatis, pilih apakah StackSets akan secara otomatis menyebarkan ke akun yang ditambahkan ke organisasi target atau OU di masa mendatang.

    Pengaturan deployment otomatis untuk set tumpukan dengan izin yang dikelola layanan.

  13. Jika Anda mengaktifkan deployment otomatis, dalam Perilaku penghapusan akun, pilih apakah sumber daya tumpukan dipertahankan atau dihapus ketika akun dihapus dari organisasi atau OU target.

    Pengaturan perilaku penghapusan akun untuk set tumpukan dengan izin yang dikelola layanan.
    catatan

    Dengan Pertahankan tumpukan dipilih, instans tumpukan dihapus dari set tumpukan Anda, tetapi tumpukan dan sumber daya yang berhubungan dipertahankan. Sumber daya tetap dalam statusnya saat ini, tetapi tidak akan lagi menjadi bagian dari set tumpukan.

  14. Dalam Wilayah deployment, pilih Wilayah tempat Anda ingin menerapkan instans tumpukan. Pilih Selanjutnya.

  15. Pada halaman Tinjauan, verifikasi bahwa StackSets akan menyebarkan ke akun yang benar di Wilayah yang benar, lalu pilih Buat StackSet.

Halaman StackSet detail terbuka. Anda dapat melihat kemajuan dan status pembuatan tumpukan di set tumpukan Anda.

Buat kumpulan tumpukan dengan izin yang dikelola layanan menggunakan AWS CLI

Saat Anda membuat set tumpukan menggunakan AWS CLI, Anda menjalankan dua perintah terpisah. Selama create-stack-set, Anda mengunggah templat Anda, membuat kontainer set tumpukan, dan mengelola deployment otomatis. Selama create-stack-instances, Anda membuat instans tumpukan di akun target tertentu.

Saat bertindak sebagai administrator yang didelegasikan, Anda harus mengatur --call-as parameter untuk DELEGATED_ADMIN setiap kali Anda menjalankan StackSets perintah.

--call-as DELEGATED_ADMIN

Stack set yang dibuat oleh administrator yang didelegasikan dibuat di akun manajemen organisasi.

  1. Buka AWS CLI.

  2. Jalankan perintah create-stack-set.

    Dalam contoh berikut, kami mengaktifkan penerapan otomatis untuk memungkinkan penyebaran secara otomatis StackSets ke akun yang ditambahkan ke organisasi target atau OU di masa mendatang. Kami mempertahankan sumber daya tumpukan saat akun dihapus dari organisasi target atau OU. Kami juga mengaktifkan --managed-execution sehingga StackSets melakukan operasi yang tidak bertentangan secara bersamaan dan antrian operasi yang saling bertentangan. Setelah operasi yang saling bertentangan selesai, StackSets mulai operasi antrian dalam urutan permintaan.

    catatan

    Jika sudah ada operasi yang berjalan atau antrian, StackSets antrian semua operasi yang masuk meskipun tidak bertentangan.

    Anda tidak dapat memodifikasi konfigurasi eksekusi set tumpukan Anda saat ada operasi berjalan atau antrian untuk kumpulan tumpukan itu.

    aws cloudformation create-stack-set \
  --stack-set-name StackSet_myApp \
  --template-url https://s3.us-west-2.amazonaws.com/cloudformation-templates-us-west-2/MyApp.template \
  --permission-model SERVICE_MANAGED \
  --auto-deployment Enabled=true,RetainStacksOnAccountRemoval=true

  3. Setelah perintah create-stack-set Anda selesai, jalankan perintah list-stack-sets untuk mengkonfirmasi bahwa set tumpukan Anda telah dibuat. Set tumpukan baru Anda tercantum di hasil.

    aws cloudformation list-stack-sets

    • Jika Anda menyetel --call-as parameter DELEGATED_ADMIN saat masuk ke akun anggota, list-stack-sets mengembalikan semua set tumpukan dengan izin yang dikelola layanan di akun manajemen organisasi.

    • Jika Anda menyetel --call-as parameter SELF saat masuk ke AWS akun, list-stack-sets mengembalikan semua set tumpukan yang dikelola sendiri di AWS akun Anda.

    • Jika Anda menyetel --call-as parameter SELF saat masuk ke akun manajemen organisasi, list-stack-sets mengembalikan semua kumpulan tumpukan di akun manajemen organisasi.

  4. Jalankan perintah create-stack-instances untuk menambahkan instans tumpukan ke set tumpukan Anda. Untuk parameter --deployment-targets, tentukan ID root organisasi untuk men-deploy ke semua akun di organisasi Anda, atau tentukan ID OU untuk men-deploy ke semua akun di OU tersebut. Dalam contoh ini, kita menentukan OU dengan ID ou-rcuk-1x5j1lwo dan ou-rcuk-slr5lh0a.

    aws cloudformation create-stack-instances --stack-set-name StackSet_myApp --deployment-targets OrganizationalUnitIds='["ou-rcuk-1x5j1lwo", "ou-rcuk-slr5lh0a"]' --regions '["eu-west-1"]'
    penting

    Tunggu sampai operasi selesai sebelum memulai yang lain. Anda hanya dapat menjalankan satu operasi dalam satu waktu.

  5. Dengan menggunakan operation-id yang dikembalikan sebagai bagian dari output create-stack-instances dalam langkah 4, jalankan describe-stack-set-operation untuk memverifikasi bahwa instans tumpukan Anda berhasil dibuat.