Concedere autorizzazioni gestite dal cliente

Questo argomento fornisce istruzioni su come creare i ruoli del servizio IAM necessari StackSets per la distribuzione su più account e Regioni AWS con autorizzazioni autogestite. Questi ruoli sono necessari per stabilire una relazione di trust tra l'account da cui amministri il set di stack e l'account a cui distribuisci le istanze dello stack. Utilizzando questo modello di autorizzazioni, StackSets puoi eseguire la distribuzione su qualsiasi dispositivo Account AWS in cui disponi delle autorizzazioni per creare un ruolo IAM.

Per utilizzare le autorizzazioni gestite dal servizio, consulta invece. Attiva l'accesso attendibile con AWS Organizations

Panoramica delle autorizzazioni gestite automaticamente

Prima di creare uno stack set con autorizzazioni autogestite, devi aver creato i ruoli di servizio IAM in ogni account.

I passaggi di base sono:

1. Determina quale AWS account è l'account amministratore.

   I set di stack vengono creati in questo account amministratore. Un account di destinazione è l'account in cui si creano stack singoli che appartengono a un set di stack.

2. Decidi come strutturare le autorizzazioni per i set di stack.

   Il tipo più semplice (e meno restrittivo) di configurazione delle autorizzazioni consiste nel fornire a tutti gli utenti e ai gruppi dell'account amministratore la possibilità di creare e aggiornare tutti i set di stack gestiti tramite l'account. Per ottenere un controllo più accurato, puoi configurare le autorizzazioni per specificare:

   • Quali utenti e gruppi possono eseguire operazioni di set di stack nei vari account di destinazione.

   • Quali risorse gli utenti e i gruppi possono includere nei loro set di stack.

   • Quali operazioni di set di stack possono essere eseguite da specifici utenti e gruppi.

3. Crea i ruoli di servizio IAM necessari negli account amministratore e di destinazione per definire le autorizzazioni desiderate.

   Nello specifico, i due ruoli richiesti sono:

   • AWSCloudFormationStackSetAdministrationRole— Questo ruolo viene distribuito all'account amministratore.

   • AWSCloudFormationStackSetExecutionRole— Questo ruolo viene distribuito a tutti gli account in cui si creano istanze stack.

Concedi a tutti gli utenti dell'account amministratore le autorizzazioni per gestire gli stack in tutti gli account di destinazione

Questa sezione mostra come impostare le autorizzazioni per consentire a tutti gli utenti e i gruppi dell'account amministratore di eseguire operazioni di stack set in tutti gli account di destinazione. Ti guida nella creazione dei ruoli di servizio IAM richiesti negli account amministratore e di destinazione. Tutti gli utenti dell'account amministratore possono quindi creare, aggiornare o eliminare qualsiasi stack in uno qualsiasi degli account di destinazione.

Strutturando le autorizzazioni in questo modo, gli utenti non assegnano un ruolo di amministrazione durante la creazione o l'aggiornamento dei set di stack.

Administrator account

Nell'account amministratore, crea un ruolo IAM denominato. AWSCloudFormationStackSetAdministrationRole

Puoi farlo creando uno stack dal CloudFormation modello disponibile da https://s3.amazonaws.com/ cloudformation-stackset-sample-templates AWSCloudFormationStackSetAdministrationRole -us-east-1/ .yml.

Esempio di politica delle autorizzazioni

Il ruolo di amministrazione creato dal modello precedente include la seguente politica di autorizzazioni.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole"
      ],
      "Effect": "Allow"
    }
  ]
}

Esempio di politica di fiducia 1

Il modello precedente include anche la seguente politica di fiducia che concede al servizio l'autorizzazione a utilizzare il ruolo di amministrazione e le autorizzazioni associate al ruolo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Esempio di politica di fiducia 2

Per distribuire le istanze dello stack in un account di destinazione che risiede in una regione disattivata per impostazione predefinita, devi includere anche il responsabile del servizio regionale per quella regione. Ogni Regione disabilitata per impostazione predefinita avrà un proprio principale del servizio regionale.

L'esempio seguente di politica di fiducia concede al servizio l'autorizzazione a utilizzare il ruolo di amministrazione nella regione Asia Pacifico (Hong Kong) (ap-east-1), una regione disabilitata per impostazione predefinita.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
            "cloudformation.amazonaws.com",
            "cloudformation.ap-east-1.amazonaws.com"
         ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Per ulteriori informazioni, consulta Esecuzione di operazioni di stack set che coinvolgono regioni disattivate per impostazione predefinita. Per un elenco dei codici regionali, consulta Endpoint regionali nella Guida di riferimento AWS generale.

Target accounts

In ogni account di destinazione, crea un ruolo di servizio denominato AWSCloudFormationStackSetExecutionRoleche consideri attendibile l'account amministratore. Il ruolo deve avere questo nome esatto. Puoi farlo creando uno stack dal CloudFormation modello disponibile da https://s3.amazonaws.com/ cloudformation-stackset-sample-templates AWSCloudFormationStackSetExecutionRole -us-east-1/ .yml. Quando si utilizza questo modello, viene richiesto di fornire l'ID dell'account amministratore con cui l'account di destinazione deve avere una relazione di fiducia.

Importante

Questo modello concede l'accesso di amministratore. Dopo aver utilizzato il modello per creare un ruolo di esecuzione dell'account di destinazione, è necessario definire l'ambito delle autorizzazioni contenute nella dichiarazione politica in base ai tipi di risorse che si stanno creando utilizzando. StackSets

Il ruolo del servizio dell'account di destinazione richiede le autorizzazioni per eseguire tutte le operazioni specificate CloudFormation nel modello. Ad esempio, se il modello crea un bucket S3, è necessario disporre delle autorizzazioni per creare nuovi oggetti per S3. Il tuo account di destinazione necessita sempre CloudFormation delle autorizzazioni complete, che includono le autorizzazioni per creare, aggiornare, eliminare e descrivere gli stack.

Esempio di politica sulle autorizzazioni 1

Il ruolo creato da questo modello abilita la seguente policy su un account di destinazione.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    }
  ]
}

Esempio di politica di autorizzazione 2

L'esempio seguente mostra una dichiarazione politica con le autorizzazioni minime StackSets per funzionare. Per creare pile negli account di destinazione che utilizzano risorse di servizi diversi da CloudFormation, è necessario aggiungere tali azioni e risorse di servizio all'AWSCloudFormationStackSetExecutionRoleinformativa relativa a ciascun account di destinazione.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "cloudformation:*"
      ],
      "Resource": "*"
    }
  ]
}

Esempio di politica di fiducia

La seguente relazione di trust viene creata dal modello. L'ID dell'account amministratore viene visualizzato come admin_account_id.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::admin_account_id:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

È possibile configurare la relazione di trust di un ruolo di esecuzione dell'account di destinazione esistente per stabilire una relazione di trust con un determinato ruolo nell'account amministratore. Se si elimina il ruolo nell'account amministratore, e se ne crea uno nuovo per sostituirlo, è necessario configurare le relazioni di trust dell'account di destinazione con il nuovo ruolo dell'account amministratore, rappresentato dal admin_account_id dell'esempio precedente.

Impostazione delle opzioni avanzate di autorizzazione per le operazioni sui set di stack

Per ottenere un controllo più preciso sui set di stack creati da utenti e gruppi tramite un unico account amministratore, puoi utilizzare i ruoli IAM per specificare:

• Quali utenti e gruppi possono eseguire operazioni di set di stack nei vari account di destinazione.

• Quali risorse gli utenti e i gruppi possono includere nei loro set di stack.

• Quali operazioni di set di stack possono essere eseguite da specifici utenti e gruppi.

Controlla quali utenti possono eseguire operazioni di stack set in account target specifici

Utilizza ruoli di amministrazione personalizzati per controllare quali utenti e gruppi possono eseguire operazioni di stack set in quali account di destinazione. È possibile controllare quali utenti dell'account amministratore possono eseguire operazioni di set di stack e in quali account di destinazione. A tale scopo, si crea una relazione di fiducia tra ciascun account di destinazione e uno specifico ruolo di amministrazione personalizzato, anziché creare il ruolo di AWSCloudFormationStackSetAdministrationRoleservizio nell'account amministratore stesso. A questo punto attivi utenti e gruppi specifici in modo che utilizzino il ruolo amministratore personalizzato per l'esecuzione di operazioni di set di stack in un determinato account di destinazione.

Ad esempio, è possibile creare Ruolo A e Ruolo B all'interno dell'account amministratore. È possibile assegnare a Ruolo A le autorizzazioni per accedere all'account di destinazione 1 tramite l'account 8. È possibile assegnare a Ruolo B le autorizzazioni per accedere all'account di destinazione 9 tramite l'account 16.

L'impostazione delle autorizzazioni necessarie implica la definizione di un ruolo di amministrazione personalizzato, la creazione di un ruolo di servizio per l'account di destinazione e la concessione agli utenti dell'autorizzazione a passare il ruolo di amministrazione personalizzato durante l'esecuzione di operazioni di stack set.

In generale, ecco come funziona una volta predisposte le autorizzazioni necessarie: quando si crea uno stack set, l'utente deve specificare un ruolo di amministrazione personalizzato. L'utente deve avere l'autorizzazione a passare il ruolo a. CloudFormation Inoltre, il ruolo di amministrazione personalizzato deve avere una relazione di trust con gli account di destinazione specificati per lo stack set. CloudFormation crea il set di stack e vi associa il ruolo di amministrazione personalizzato. Quando aggiorna un set di stack, l'utente deve specificare in modo esplicito un ruolo di amministrazione personalizzato, anche se si tratta dello stesso ruolo di amministrazione personalizzato utilizzato in precedenza con questo set di stack. CloudFormation utilizza quel ruolo per aggiornare lo stack, in base ai requisiti di cui sopra.

Administrator account

Esempio di politica delle autorizzazioni

Per ogni set di stack, crea un ruolo di amministrazione personalizzato con le autorizzazioni per assumere il ruolo di esecuzione dell'account di destinazione.

Il nome del ruolo di esecuzione dell'account di destinazione deve essere lo stesso in ogni account di destinazione. Se il nome del ruolo è AWSCloudFormationStackSetExecutionRole, lo StackSets utilizza automaticamente durante la creazione di uno stack set. Se specificate un nome di ruolo personalizzato, gli utenti devono fornire il nome del ruolo di esecuzione durante la creazione di un set di stack.

Crea un ruolo di servizio IAM con un nome personalizzato e la seguente politica di autorizzazioni. Negli esempi seguenti, custom_execution_role si riferisce al ruolo di esecuzione negli account di destinazione.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": [
        "arn:aws:iam::target_account_id:role/custom_execution_role"
      ],
      "Effect": "Allow"
    }
  ]
}

Per specificare più account in un unico rendiconto, separali con virgole.

"Resource": [
  "arn:aws:iam::target_account_id_1:role/custom_execution_role", 
  "arn:aws:iam::target_account_id_2:role/custom_execution_role"
]

È possibile specificare tutti gli account di destinazione utilizzando un carattere jolly (*) anziché un ID account.

"Resource": [
  "arn:aws:iam::*:role/custom_execution_role"
]

Esempio di politica di fiducia 1

È necessario fornire una policy di fiducia per il ruolo di servizio per definire quali dirigenti IAM possono assumere il ruolo.

{ 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Effect": "Allow", 
      "Principal": { 
        "Service": "cloudformation.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

Esempio di politica di fiducia 2

Per distribuire le istanze dello stack in un account di destinazione che risiede in una regione disattivata per impostazione predefinita, devi includere anche il responsabile del servizio regionale per quella regione. Ogni Regione disabilitata per impostazione predefinita avrà un proprio principale del servizio regionale.

L'esempio seguente di politica di fiducia concede al servizio l'autorizzazione a utilizzare il ruolo di amministrazione nella regione Asia Pacifico (Hong Kong) (ap-east-1), una regione disabilitata per impostazione predefinita.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
            "cloudformation.amazonaws.com",
            "cloudformation.ap-east-1.amazonaws.com"
         ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Per ulteriori informazioni, consulta Esecuzione di operazioni di stack set che coinvolgono regioni disattivate per impostazione predefinita. Per un elenco dei codici regionali, consulta Endpoint regionali nella Guida di riferimento AWS generale.

Esempio di politica di passaggio del ruolo

È inoltre necessaria una politica di autorizzazioni IAM per gli utenti IAM che consenta all'utente di passare il ruolo di amministrazione personalizzato durante l'esecuzione di operazioni di stack set. Per ulteriori informazioni, consulta Concessione di autorizzazioni utente per il passaggio di un ruolo a un servizio AWS.

Nell'esempio seguente, customized_admin_role si riferisce al ruolo di amministrazione che l'utente deve passare.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/customized_admin_role"
    }
  ]
}

Target accounts

In ogni account di destinazione, crea un ruolo di servizio che si affidi al ruolo di amministrazione personalizzato che desideri utilizzare con questo account.

Il ruolo dell'account di destinazione richiede le autorizzazioni per eseguire tutte le operazioni specificate CloudFormation nel modello. Ad esempio, se il modello crea un bucket S3, è necessario disporre delle autorizzazioni per creare nuovi oggetti in S3. Il tuo account di destinazione necessita sempre di CloudFormation autorizzazioni complete, che includono le autorizzazioni per creare, aggiornare, eliminare e descrivere gli stack.

Il nome del ruolo dell'account di destinazione deve essere lo stesso in ogni account di destinazione. Se il nome del ruolo è AWSCloudFormationStackSetExecutionRole, lo StackSets utilizza automaticamente durante la creazione di uno stack set. Se specificate un nome di ruolo personalizzato, gli utenti devono fornire il nome del ruolo di esecuzione durante la creazione di un set di stack.

Esempio di politica delle autorizzazioni

L'esempio seguente mostra una dichiarazione politica con le autorizzazioni minime StackSets per funzionare. Per creare pile negli account di destinazione che utilizzano risorse di servizi diversi da CloudFormation, è necessario aggiungere tali azioni e risorse di servizio alla politica delle autorizzazioni.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:*"
      ],
      "Resource": "*"
    }
  ]
}

Esempio di politica di fiducia

È necessario fornire la seguente politica di fiducia quando si crea il ruolo per definire la relazione di fiducia.

{
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Effect": "Allow", 
      "Principal": { 
      "AWS": "arn:aws:iam::admin_account_id:role/customized_admin_role" 
      }, 
      "Action": "sts:AssumeRole"
    } 
  ] 
} 

Controlla le risorse che gli utenti possono includere in set di stack specifici

Utilizza i ruoli di esecuzione personalizzati per controllare le risorse di stack che gli utenti o i gruppi possono includere nei loro set di stack. Ad esempio, puoi scegliere di impostare un gruppo in modo che possa includere nei set di stack creati solo risorse correlate a Amazon S3, mentre un altro team potrebbe includere solo risorse DynamoDB. A tale scopo, si crea una relazione di fiducia tra il ruolo di amministrazione personalizzato per ogni gruppo e un ruolo di esecuzione personalizzato per ogni set di risorse. Il ruolo di esecuzione personalizzato definisce quali risorse di stack possono essere incluse nel set di stack. Il ruolo di amministrazione personalizzato risiede nell'account amministratore, mentre il ruolo di esecuzione personalizzato risiede in ogni account di destinazione in cui si desidera creare set di stack utilizzando le risorse definite. A questo punto attivi utenti e gruppi specifici in modo che utilizzino il ruolo amministratore personalizzato per l'esecuzione di operazioni di set di stack.

Ad esempio, è possibile creare ruoli amministrativi personalizzati A, B e C nell'account amministratore. Gli utenti e i gruppi che dispongono dell'autorizzazione per l'utilizzo del ruolo A possono creare set di stack contenenti le risorse di stack indicate in modo specifico nel ruolo di esecuzione personalizzato X, ma non quelle dei ruoli Y o Z, né le risorse che non sono incluse in un ruolo di esecuzione.

Quando aggiorna un set di stack, l'utente deve specificare esplicitamente un ruolo di amministrazione personalizzato, anche se si tratta dello stesso ruolo di amministrazione personalizzato utilizzato in precedenza con questo set di stack. CloudFormation esegue l'aggiornamento utilizzando il ruolo di amministrazione personalizzato specificato, a condizione che l'utente disponga delle autorizzazioni per eseguire operazioni su quel set di stack.

Analogamente, l'utente può specificare anche un ruolo di esecuzione personalizzato. Se specificano un ruolo di esecuzione personalizzato, CloudFormation utilizza quel ruolo per aggiornare lo stack, in base ai requisiti di cui sopra. Se l'utente non specifica un ruolo di esecuzione personalizzato, CloudFormation esegue l'aggiornamento utilizzando il ruolo di esecuzione personalizzato precedentemente associato allo stack set, a condizione che l'utente disponga delle autorizzazioni per eseguire operazioni su tale set di stack.

Administrator account

Crea un ruolo di amministrazione personalizzato nel tuo account amministratore, come descritto in. Controlla quali utenti possono eseguire operazioni di stack set in account target specifici Includi una relazione di fiducia tra il ruolo di amministrazione personalizzato e i ruoli di esecuzione personalizzati che desideri venga utilizzato.

Esempio di politica delle autorizzazioni

L'esempio seguente è una politica di autorizzazioni per entrambi gli account AWSCloudFormationStackSetExecutionRoledefiniti per l'account di destinazione, oltre a un ruolo di esecuzione personalizzato.

{
  "Version": "2012-10-17",
   "Statement": [
    {
      "Sid": "Stmt1487980684000",
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole" 
      ],
      "Resource": [ 
        "arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole",
        "arn:aws:iam::*:role/custom_execution_role" 
      ]
    } 
  ]
}

Target accounts

Negli account di destinazione in cui desideri creare i set di stack, crea un ruolo di esecuzione personalizzato per la concessione delle autorizzazioni per i servizi e le risorse che gli utenti e i gruppi potranno includere nei set di stack.

Esempio di politica delle autorizzazioni

L'esempio seguente usa le autorizzazioni minime per i set di stack, insieme all'autorizzazione per creare tabelle Amazon DynamoDB.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "dynamoDb:createTable"
      ],
      "Resource": "*"
    }
  ]
}

Esempio di politica di fiducia

È necessario fornire la seguente politica di fiducia quando si crea il ruolo per definire la relazione di fiducia.

{
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Effect": "Allow", 
      "Principal": { 
      "AWS": "arn:aws:iam::admin_account_id:role/customized_admin_role" 
      }, 
      "Action": "sts:AssumeRole"
    } 
  ] 
} 

Impostazione delle autorizzazioni per eseguire operazioni specifiche sui set di stack

È anche possibile impostare le autorizzazioni per definire quali utenti e gruppi possono eseguire operazioni di set di stack specifiche, come ad esempio la creazione, l'aggiornamento e l'eliminazione di set di stack o di istanze di stack. Per ulteriori informazioni, consulta Actions, resources and condition keys CloudFormation nella IAM User Guide.

Configurazione di chiavi globali per mitigare i problemi di "confused deputy"

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel frattempo AWS, l'impersonificazione tra servizi può portare al confuso problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.

Ti consigliamo di utilizzare aws:SourceArnle chiavi di contesto della condizione aws:SourceAccountglobale nelle politiche delle risorse per limitare le autorizzazioni che AWS CloudFormation StackSets forniscono un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore aws:SourceAccount e l'account nel valore aws:SourceArn devono utilizzare lo stesso ID account nella stessa istruzione di policy.

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArn con l'ARN completo della risorsa. Se non si conosce l'ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale aws:SourceArn con caratteri jolly (*) per le parti sconosciute dell'ARN. Ad esempio, arn:aws:cloudformation::123456789012:*. Quando possibile, usa aws:SourceArn, perché è più specifico. Utilizza aws:SourceAccount solo quando non è possibile determinare il modello ARN o ARN corretto.

Quando StackSets assume il ruolo di amministratore nel tuo account amministratore, StackSets inserisce l'ID dell'account amministratore e StackSets Amazon Resource Name (ARN). Per questo motivo, puoi definire le condizioni per le chiavi globali aws:SourceAccount e aws:SourceArn nelle relazioni di trust per prevenire problemi di "confused deputy". L'esempio seguente mostra come utilizzare le chiavi di contesto aws:SourceArn e aws:SourceAccount global condition StackSets per evitare il confuso problema del vice.

Administrator account

Esempio Chiavi globali per aws:SourceAccount e aws:SourceArn

Durante l'utilizzo StackSets, definite le chiavi globali aws:SourceAccount e aws:SourceArn la vostra politica di AWSCloudFormationStackSetAdministrationRolefiducia per evitare problemi confusi tra i vicepresidenti.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:cloudformation:*:111122223333:stackset/*"
        }
      }
    }
  ]
}

Esempio ARN StackSets

Specificate gli StackSets ARN associati per un controllo più preciso.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333",
          "aws:SourceArn": [
            "arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-1",
            "arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-2",
          ]
        }
      }
    }
  ]
}