AWS CloudFormation StackSets と AWS Organizations

AWS CloudFormationStackSets を使用すると、複数の AWS アカウント および AWS リージョン を 1 回の操作で操作します。StackSets との統合AWS Organizationsでは、各メンバーアカウントに関連するアクセス許可を持つサービスリンクロールを使用して、サービス管理のアクセス許可を持つスタックセットを作成できます。これにより、組織内のメンバーアカウントにスタックインスタンスをデプロイできます。必要な [] を作成する必要はありません。AWS Identity and Access Managementロールを使用します。StackSets は、ユーザーに代わって各メンバーアカウントに IAM ロールを作成します。将来組織に追加されるアカウントへの自動デプロイを有効にすることもできます。

StackSets と Organizations 間の信頼されたアクセスを有効にすると、管理アカウントには、組織のスタックセットを作成および管理するためのアクセス許可が与えられます。管理アカウントは、委任された管理者として最大 5 つのメンバーアカウントを登録できます。トラステッドアクセスを有効にすると、委任された管理者には、組織のスタックセットを作成および管理するためのアクセス許可も付与されます。サービスマネージド型のアクセス許可を持つスタックセットは、委任された管理者によって作成されたスタックセットを含む、管理アカウントに作成されます。

重要

委任された管理者は、組織内のアカウントにデプロイするための完全なアクセス許可を持っています。管理アカウントでは、特定の OU にデプロイしたり、特定のスタックセットの操作を実行したりする、委任された管理者のアクセス許可を制限することはできません。

StackSets とOrganizations との統合の詳細については、」を参照してください。の使用AWSCloudFormation stackSets() AWS CloudFormation ユーザーガイド。

以下の情報を参考にして、AWS CloudFormationStackSetsAWS Organizations。

統合を有効にしたときに作成されるサービスリンクロール

以下のようになりますサービスにリンクされたロールは、信頼されたアクセスを有効にすると、組織の管理カウントに自動的に作成されます。このロールにより、はAWS CloudFormationスタックセットを使用すると、組織内の組織のアカウント内でサポートされている操作を実行できます。

このロールを削除または変更できるのは、AWS CloudFormationスタックセットとOrganizations、または組織からメンバーアカウントを削除した場合。

• 管理アカウント:CloudFormationStackSetsOrgAdmin

• メンバーアカウント:CloudFormationStackSetsOrgMember

サービスにリンクされたロールによって使用されるサービスプリンシパル

前のセクションで説明したサービスリンクロールは、ロールに定義された信頼関係によって承認されたサービスプリンシパルによってのみ引き受けることができます。によって使用されるサービスにリンクされたロールAWS CloudFormationスタックセットは、次のサービスプリンシパルへのアクセスを許可します。

• 管理アカウント:stacksets.cloudformation.amazonaws.com

  このロールを変更または削除できるのは、StackSets と Organizations 間の信頼されたアクセスを無効にした場合のみです。

• メンバーアカウント:member.org.stacksets.cloudformation.amazonaws.com

  アカウントからこのロールを変更または削除できるのは、StackSets と Organization 間の信頼されたアクセスを最初に無効にする場合、またはターゲットOrganizations または組織単位 (OU) からアカウントを削除する場合のみです。

で信頼されたアクセスを有効にします。AWS CloudFormationStacksets

信頼されたアクセスを有効にするには、」を参照してください。信頼されたアクセスを有効にするために必要なアクセス許可。

Organizations 管理アカウントの管理者だけが、別のによる信頼されたアクセスを有効にするアクセス許可を持ちます。AWSサービス。信頼されたアクセスを有効にするには、AWS CloudFormationコンソールまたは Organizations コンソールでは [] を選択します。

で信頼されたアクセスを有効にできます。AWS CloudFormationStackSets.

で信頼されたアクセスを有効にするにはAWS CloudFormationStackset コンソールについては、「」を参照してください。で信頼されたアクセスを有効にするAWS Organizations() AWS CloudFormation ユーザーガイド。

で信頼されたアクセスを無効にします。AWS CloudFormationStacksets

信頼されたアクセスを無効にするアクセス許可の詳細については、」信頼されたアクセスを無効にするために必要なアクセス許可。

Organizations 管理アカウントの管理者だけが、別のによる信頼されたアクセスを無効にするアクセス許可を持ちます。AWSサービス。信頼されたアクセスを無効にするには、Organizations コンソールを使用します。StackSets の使用中にOrganizations 信頼されたアクセスを無効にすると、以前に作成されたすべてのスタックインスタンスが保持されます。ただし、サービスにリンクされたロールのアクセス許可を使用してデプロイされたスタックセットは、Organizations によって管理されるアカウントへのデプロイを実行することはできなくなります。

信頼されたアクセスを無効にするには、Organizations ツールを使用するのが唯一の方法です。

信頼されたアクセスを無効にするには、AWS Organizationsコンソール、OrganizationsAWS CLIコマンドを使用するか、Organizations の API オペレーションをAWSSDK。

AWS Management Console

Organizations コンソールを使用して信頼されたサービスアクセスを無効にするには

1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに登録します。

2. リポジトリの []サービスページで、AWS CloudFormationStackSetsをクリックし、サービスの名前を選択します。

3. 選択信頼されたアクセスの無効化。

4. 確認ダイアログボックスで [] を入力します。disable[] ボックスの [] で [] を選択します。信頼されたアクセスの無効化。

5. あなただけの管理者である場合AWS Organizationsの管理者にAWS CloudFormationコンソールまたはツールを使用してそのサービスを無効にできるStackSetsAWS Organizations。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたサービスアクセスを無効にするには

以下を使用できます。AWS CLIサービスへの信頼されたアクセスを無効にするには、コマンドまたは API オペレーションを使用できます。

• AWS CLI:aws-service-access

  次のコマンドを実行して、無効にします。AWS CloudFormationStackSets は、Organizations と信頼済みサービスとして。

  $ aws organizations disable-aws-service-access \
      --service-principal stacksets.cloudformation.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: DisableAWSServiceAccess

で委任管理者アカウントの有効化AWS CloudFormationStacksets

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールはAWS CloudFormationそれ以外の場合は、組織の管理アカウント内のユーザーまたはロールのみが実行できるスタックセット。これは、の管理から組織の管理を分離するのに役立ちますAWS CloudFormationStackSets.

メンバーアカウントをAWS CloudFormation組織内のスタックセットについては、委任された管理者の登録()AWS CloudFormationユーザーガイド。