AWS Organizations で信頼されたアクセスを有効にします。 - AWS CloudFormation

AWS Organizations で信頼されたアクセスを有効にします。

セルフマネージド型のアクセス許可を持つスタックセットを作成するのに必要なアクセス許可をセットアップするには、「セルフマネージド型のアクセス許可を付与する」を参照してください。

サービスマネージド型のアクセス許可を持つスタックセットを作成する前に、まず次のタスクを実行する必要があります。

  • AWS Organizations ですべての機能を有効にします。一括請求 (コンソリデーティッドビリング) 機能のみが有効になっている場合、サービス管理アクセス許可を持つスタックセットを作成することはできません。

  • AWS Organizations で信頼されたアクセスを有効にします。信頼されたアクセスを有効にした後、サービスマネージドのアクセス許可を持つスタックセットを作成すると、StackSets によって組織 管理アカウント に必要な IAM ロールとターゲットアカウントが作成されます。

    注記

    管理アカウント で作成された IAM サービスにリンクされたロールには、サフィックス CloudFormationStackSetsOrgAdmin が付いています。このロールを変更または削除できるのは、AWS Organizations を使用した信頼されたアクセスが無効になっている場合のみです。各ターゲットアカウントで作成された IAM サービスリンクロールには、サフィックス CloudFormationStackSetsOrgMember が付きます。このロールを変更または削除できるのは、AWS Organizations による信頼されたアクセスが無効になっている場合、またはアカウントがターゲット組織または組織単位 (OU) から削除されている場合のみです。

このトピックでは、AWS Organizations で信頼されたアクセスを有効にする方法について説明します。

管理アカウント のアカウント管理者にのみ、信頼されたアクセスを有効にするアクセス許可があります。管理者ユーザーは、AWS アカウントに対する完全なアクセス許可を持つ IAM ユーザーです。詳細については、『IAM ユーザーガイド』の「IAMベストプラクティス」および「最初の IAM 管理者のユーザーおよびグループの作成」を参照してください。

[Create StackSet (StackSet の作成)] ウィザードで信頼されたアクセスを有効にするには、次の手順に従います。

サービスマネージド型のアクセス許可を持つスタックセットを作成する」を参照してください。

AWS CloudFormation コンソールの [StackSets] ページで信頼されたアクセスを有効にするには、次の手順を実行します。

  1. どの AWS アカウントが管理者アカウントであるかを判断します。サービスマネージドのアクセス許可を持つスタックセットの場合、管理者アカウントは組織の 管理アカウント です。

    スタックセットは 管理アカウント に作成されます。ターゲットアカウントは、スタックインスタンスがデプロイされる先のアカウントです。

  2. 管理アカウント の管理者として AWS にサインインし、https://console.aws.amazon.com/ で AWS CloudFormation コンソールを開きます。

  3. ナビゲーションペインから [StackSets] を選択します。信頼されたアクセスを無効にすると、信頼されたアクセスを有効にすることを求めるバナーが表示されます。

    
                        信頼されたアクセスバナーを有効にします。
  4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

    信頼されたアクセスの有効化が成功すると、次のバナーが表示されます。

    
                        信頼されたアクセスが正常に有効化されると表示されるバナー。

AWS Organizations コンソールの [Trusted access for AWS services (AWS のサービスに対する信頼されたアクセス)] ページで信頼されたアクセスを有効にするには、次の操作を行います。

AWS Organizations ユーザーガイドの「AWS CloudFormation StackSets および AWS Organizations」を参照してください。

信頼されたアクセスを無効にする手順は、次のとおりです。

AWS Organizations ユーザーガイドの「AWS CloudFormation StackSets および AWS Organizations」を参照してください。