Configurazione di un account di destinazione gate in StackSets - AWS CloudFormation
Requisiti di configurazioneFunzioni di attività di controllo dell'account Lambda di esempio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di un account di destinazione gate in StackSets

Un account gate è una funzionalità opzionale che consente di specificare una AWS Lambdafunzione per verificare che un account di destinazione soddisfi determinati requisiti prima di AWS CloudFormation StackSets iniziare le operazioni di stack su quell'account. Un esempio comune di account gate è la verifica che non vi siano CloudWatch allarmi attivi o irrisolti sull'account di destinazione. StackSetsrichiama la funzione ogni volta che si avviano le operazioni di stack nell'account di destinazione e continua solo se la funzione restituisce un codice. SUCCEEDED Se la funzione Lambda restituisce uno stato diFAILED, StackSets non continua con l'operazione richiesta. Se non disponi di una funzione Lambda per il controllo dell'account configurata StackSets , salta il controllo e continua con l'operazione.

Se l'attività di controllo del tuo account non ha esito positivo, l'operazione non riuscita viene inclusa nel numero o nella percentuale di stack di tolleranza di errore che hai specificato. Per ulteriori informazioni sulla tolleranza di errore, consulta Opzioni per le operazioni dei set di stack.

L'account gating è disponibile solo per le operazioni. StackSets Questa funzionalità non è disponibile per altre AWS CloudFormation operazioni al di fuori di StackSets.

Requisiti di configurazione

Di seguito sono descritti i requisiti per la configurazione di un'attività di controllo dell'account.

  • Per utilizzare la funzionalità di StackSets controllo dell'account, la funzione Lambda deve avere un nome. AWSCloudFormationStackSetAccountGate

  • Sono AWSCloudFormationStackSetExecutionRolenecessarie le autorizzazioni per richiamare la funzione Lambda. Senza queste autorizzazioni, StackSets salta il controllo di accesso all'account e continua con le operazioni sullo stack.

  • Affinché l'attività di controllo dell'account funzioni, è necessario aggiungere l'autorizzazione Lambda InvokeFunction agli account target. La policy di attendibilità dell'account target deve trovarsi in una relazione di attendibilità con l'account dell'amministratore. Di seguito è riportato un esempio di istruzione di policy che concede autorizzazioni InvokeFunction Lambda.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": "*"
        }
    ]
}

Funzioni di attività di controllo dell'account Lambda di esempio

I seguenti AWS CloudFormation modelli di esempio sono disponibili per creare funzioni Lambda AWSCloudFormationStackSetAccountGate. Per ulteriori informazioni su come creare un nuovo stack utilizzando uno di questi modelli, consulta. Crea uno stack dalla console CloudFormation

Posizione del modello

Descrizione

https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateSucceeded.yml

Crea uno stack che implementa una funzione di controllo dell'account Lambda che restituisce lo stato SUCCEEDED.

https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/AccountGateFailed.yml

Crea uno stack che implementa una funzione di controllo dell'account Lambda che restituisce lo stato FAILED.