AWS CloudFormation StackSets と AWS organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudFormation StackSets と AWS organizations

AWS CloudFormation StackSets を使用すると、1 回のオペレーションで、複数の AWS アカウントと AWS リージョンでスタックを作成、更新、または削除することができます。StackSets と AWS Organizations との統合により、各メンバーアカウントに関連するアクセス許可を持つサービスリンクロールを使用して、サービス管理アクセス許可を持つスタックセットを作成できます。組織内のメンバーアカウントにスタックインスタンスをデプロイできます。必要な AWS Identity and Access Management ロールを作成する必要はありません。StackSets では、ユーザーに代わって IAM ロールが各メンバーアカウントを作成します。将来組織に追加されるアカウントへの自動デプロイを有効にすることもできます。

StackSets と Organizations 間の信頼されたアクセスを有効にすると、管理アカウントには、組織のスタックセットを作成および管理するためのアクセス許可が与えられます。管理アカウントは、委任された管理者として最大 5 つのメンバーアカウントを登録できます。トラステッドアクセスを有効にすると、委任された管理者には、組織のスタックセットを作成および管理するためのアクセス許可も付与されます。サービスマネージド型のアクセス許可を持つスタックセットは、委任された管理者によって作成されたスタックセットを含む、管理アカウントに作成されます。

重要

委任された管理者は、組織内のアカウントにデプロイするための完全なアクセス許可を持っています。管理アカウントでは、特定の OU にデプロイしたり、特定のスタックセットの操作を実行したりする、委任された管理者のアクセス許可を制限することはできません。

StackSets と Organizations 統合の詳細については、AWS CloudFormation StackSets()AWS CloudFormation ユーザーガイド

以下の情報を使用して、AWS CloudFormation StackSets を AWS Organizations と統合します。

統合を有効にしたときに作成されるサービスリンクロール

以下のようになりますサービスにリンクされたロールは、信頼されたアクセスを有効にすると、組織のアカウントに自動的に作成されます。これらのロールにより、AWS CloudFormation スタックセットは、組織内のアカウント内でサポートされているオペレーションを実行できます。

これらのロールを削除または変更できるのは、AWS CloudFormation スタックセットとOrganizations 間の信頼されたアクセスを無効にするか、組織からメンバーアカウントを削除した場合のみです。

  • 管理アカウント:CloudFormationStackSetsOrgAdmin

  • メンバーアカウント:CloudFormationStackSetsOrgMember

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスリンクロールは、ロールに定義された信頼関係によって承認されたサービスプリンシパルによってのみ引き受けることができます。AWS CloudFormation スタックセットで使用されるサービスリンクロールは、次のサービスプリンシパルへのアクセスを許可します。

  • 管理アカウント:stacksets.cloudformation.amazonaws.com

    このロールを変更または削除できるのは、StackSets と Organizations 間の信頼されたアクセスを無効にした場合のみです。

  • メンバーアカウント:member.org.stacksets.cloudformation.amazonaws.com

    StackSets と Organization 間の信頼されたアクセスを最初に無効にする場合、またはターゲットOrganizations または組織単位 (OU) からアカウントを削除した場合にのみ、アカウントからこのロールを変更または削除できます。

AWS CloudFormation スタックセットを使用して信頼されたアクセスを有効にするには

信頼されたアクセスを有効にするには、信頼されたアクセスを有効にするために必要なアクセス許可

Organizations 管理アカウントの管理者だけが、別の AWS サービスを使用して信頼されたアクセスを有効にするアクセス許可を持っています。AWS CloudFormation コンソールまたは Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

AWS CloudFormation StackSets コンソールまたはツールのみを使用して、信頼されたアクセスを有効にできます。

AWS CloudFormation スタックセットコンソールを使用して信頼されたアクセスを有効にするには、「」を参照してください。AWS Organizations で信頼されたアクセスを有効にするAWS CloudFormation ユーザーガイドの「」を参照してください。

AWS CloudFormation スタックセットによる信頼されたアクセスの無効化

信頼されたアクセスを無効にするために必要なアクセス許可の詳細については、「」を参照してください。信頼されたアクセスを無効にするために必要なアクセス許可

Organizations 管理アカウントの管理者だけが、別の AWS サービスを使用して信頼されたアクセスを無効にするアクセス許可を持っています。信頼されたアクセスを無効にするには、Organizations コンソールを使用します。StackSets の使用中にOrganizations 信頼されたアクセスを無効にすると、以前に作成されたすべてのスタックインスタンスが保持されます。ただし、サービスリンクされたロールのアクセス権限を使用してデプロイされたスタックセットは、Organizations によって管理されるアカウントへのデプロイを実行できなくなります。

信頼済みアクセスを無効にするには、Organizations コンソールまたはツールを使用します。

信頼されたアクセスを無効にするには、AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDK でOrganizations API オペレーションを呼び出します。

New console

Organizations コンソールを使用して信頼されたサービスアクセスを無効にするには

  1. にサインインします。AWS Organizations gan コンソールIAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに登録します。

  2. リポジトリの []サービスページで、AWS CloudFormation StackSetsをクリックし、サービスの名前を選択します。

  3. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  4. 確認ダイアログボックスで [] と入力します。disable[] ボックスの [] で [] を選択します。信頼されたアクセスの無効化

  5. AWS Organizations のみの管理者である場合は、AWS CloudFormation StackSets の管理者に、コンソールまたはツールを使用して AWS Organizations での作業を無効化できることを伝えてください。

Old console
重要

AWS Organizations コンソールは、使いやすくなりました。以降:2021年4月 7 日古いコンソールは利用できなくなります。新しいコンソールに切り替えて、」新しいコンソールタブを使用します。

Organizations コンソールを使用して信頼されたサービスアクセスを無効にするには

  1. にサインインします。AWS Organizations gan コンソールIAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに登録します。

  2. リポジトリの []設定タブの下のAWS サービスに対する信頼されたアクセス[] の行を見つけます。AWS CloudFormation StackSets[]、[]へのアクセスを無効にする

  3. ダイアログボックスで、[] を選択します。へのアクセスを無効にする service-name.

  4. AWS Organizations のみの管理者である場合は、AWS CloudFormation StackSets の管理者に、コンソールまたはツールを使用して AWS Organizations での作業を無効化できることを伝えてください。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたサービスアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: aws organizations disable-aws-service-access

    次のコマンドを実行して、AWS CloudFormation StackSets を、Organizations との信頼できるサービスとして無効にすることができます。

    $ aws organizations disable-aws-service-access \ --service-principal stacksets.cloudformation.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS GLUE: DisableAWSServiceAccess

AWS CloudFormation スタックセットの委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーとロールは、AWS CloudFormation スタックセットの管理アクションを実行できます。このアクションを実行しない場合は、組織の管理アカウントのユーザーまたはロールのみが実行できます。これにより、組織の管理と AWS CloudFormation スタックセットの管理を分離できます。

組織内の AWS CloudFormation スタックセットの委任管理者としてメンバーアカウントを指定する方法については、委任された管理者の登録()AWS CloudFormation ユーザーガイド