スタックセットオペレーションの前提条件 - AWS CloudFormation

スタックセットオペレーションの前提条件

スタックセットでは複数のアカウントでスタックオペレーションが実行されるため、最初のスタックセットの作成を開始する前に、AWS アカウントで定義される必要なアクセス許可が必要です。

セルフマネージド型のアクセス許可を持つスタックセットを作成するために必要なアクセス許可を設定するには、「セルフマネージド型のアクセス許可を付与する」を参照してください。

サービスマネージド型のアクセス許可を持つスタックセットを作成するために必要なアクセス許可を設定するには、「AWS Organizations で信頼されたアクセスを有効にする」を参照してください。

デフォルトで無効になっているリージョンを伴うスタックセットオペレーションの実行

2019 年 3 月 20 日以降に導入されたアジアパシフィック (香港) などの AWS リージョンは、デフォルトで無効になっています。これらのリージョンは使用前にアカウントで有効にする必要があります。このため、デフォルトで無効になっているリージョンにあるアカウントを含むスタックセットオペレーションを実行する場合は、以下の点を考慮してください。

  • そのアカウントに対して現在無効になっているリージョンにある管理者アカウントからスタックセットを作成することはできません。

  • CloudFormation によってスタックインスタンスが正常に作成または更新されるには、ターゲットアカウントが、そのアカウントに対して現在有効になっているリージョンにあることが必要です。

  • スタックインスタンスを、デフォルトで無効になっているリージョンにあるターゲットアカウントにデプロイするとき、そのリージョンがターゲットアカウントに対して有効になっているが管理者アカウントに対して無効になっている場合、AdministrationRole でグローバル CloudFormation サービスプリンシパルとリージョン別サービスプリンシパルの両方を信頼する必要があります。

重要

スタックセットのオペレーション中、管理者アカウントとターゲットアカウントは、アカウント自体だけでなく、関連するスタックセットおよびそれらのインスタンスに関するメタデータをやり取りします。

また、スタックセットのインスタンスがあるアカウントを含むリージョンを無効にした場合、必要に応じて、そのようなインスタンスまたはリソースをすべて削除する必要があります。さらに、無効にしたリージョンにあるターゲットアカウントに関するメタデータは、管理者アカウントに保持されます。

リージョンの有効化と無効化の詳細については、AWS 全般リファレンスの「AWS リージョンの管理」を参照してください。