AWS CloudFormation StackSets および AWS Organizations - AWS Organizations

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS CloudFormation StackSets および AWS Organizations

AWS CloudFormation StackSets を使用すると、1 回のオペレーションで、複数のアカウントとリージョンにわたってスタックを作成、更新、または削除できます。

の詳細については、StackSets の「CloudFormationAWS StackSets の使用」を参照してください。AWS CloudFormation ユーザーガイド

以下の情報を参考にして、AWS CloudFormation StackSets と AWS Organizations を統合します。

統合を有効にしたときに作成された、サービスにリンクされたロール

次のサービスにリンクされたロールは、信頼されたアクセスを有効にすると、組織のアカウントに自動的に作成されます。これらのロールにより、AWS CloudFormation Stacksets は組織内のアカウント内でサポートされているオペレーションを実行できます。

これらのロールを削除または変更できるのは、AWS CloudFormation Stacksets と Organizations 間の信頼されたアクセスを無効にする場合や、アカウントが組織またはターゲット組織単位から削除された場合のみです。

  • 管理アカウント: CloudFormationStackSetsOrgAdmin

  • メンバーアカウント: CloudFormationStackSetsOrgMember

サービスにリンクされたロールによって使用されるサービスプリンシパル

前のセクションのサービスにリンクされたロールを引き受けることができるのは、ロールに定義されている信頼関係で承認されたサービスプリンシパルのみです。で使用される、サービスにリンクされたロールは、次のサービスプリンシパルへのアクセスを許可します。AWS CloudFormation Stacksets

  • 管理アカウント: stacksets.cloudformation.amazonaws.com

  • メンバーアカウント: member.org.stacksets.cloudformation.amazonaws.com

で信頼されたアクセスを有効にするAWS CloudFormation Stacksets

信頼されたアクセスを有効にするために必要なアクセス許可の詳細については、「信頼されたアクセスを有効にするために必要なアクセス許可」を参照してください。

AWS CloudFormation StackSets コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

コンソールを使用して信頼されたアクセスを有効にするにはAWS CloudFormation Stacksets

の「 で信頼されたアクセスを有効にするAWS Organizations」を参照してください。AWS CloudFormation ユーザーガイド

側では、Organizations コンソールを使用して信頼されたアクセスを有効にすることができます。AWS Organizations

AWS マネジメントコンソール

コンソールを使用して信頼されたサービスのアクセスを有効にするにはOrganizations

  1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. 右上隅の [設定] を選択します。

  3. [ のサービスに対する信頼されたアクセスAWS] セクションで、[] の行を見つけて [AWS CloudFormation StackSetsアクセスを有効にする] を選択します。

  4. お客様が AWS Organizations の管理者である場合は、AWS CloudFormation StackSets の管理者に、このサービスが AWS Organizations を操作できるようになったことを知らせます。

で信頼されたアクセスを無効にするAWS CloudFormation Stacksets

信頼されたアクセスを無効にするために必要なアクセス許可の詳細については、「信頼されたアクセスを無効にするために必要なアクセス許可」を参照してください。

コンソールを使用して、信頼されたアクセスを無効にできます。AWS OrganizationsAWS Organizations の使用中に AWS CloudFormation で信頼されたアクセスを無効にすると、以前に作成されたすべてのスタックインスタンスが保持されます。StackSetsただし、サービスにリンクされたロールのアクセス許可を使用してデプロイされたスタックセットは、AWS Organizations によって管理されるアカウントに対してデプロイを実行できなくなります。

側では、Organizations コンソールを使用するか、AWS Organizations コマンドを実行するか、AWS CLI AWS のいずれかの API オペレーションを呼び出すことで、信頼されたアクセスを無効にできます。SDKs

AWS マネジメントコンソール

コンソールを使用して信頼されたサービスのアクセスを無効にするにはOrganizations

  1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. 右上隅の [設定] を選択します。

  3. お客様が AWS Organizations ではなく AWS CloudFormation StackSets の管理者である場合は、AWS CloudFormation StackSets の管理者が、そのサービスのコンソールまたはツールとの統合を無効にし、すべてのリソースがクリーンアップされたことを伝えるまで待ちます。

  4. [ のサービスに対する信頼されたアクセスAWS] セクションで、[] のエントリを見つけて、[AWS CloudFormation StackSetsアクセスの無効化] を選択します。

AWS CLI, AWS API

コマンドまたは API を使用して信頼されたサービスのアクセスを無効にするにはOrganizationsAWS CLI

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: aws organizations disable-aws-service-access

    以下のコマンドを実行して、AWS CloudFormation StackSets を Organizations で信頼されたサービスとして無効にできます。

    $ aws organizations disable-aws-service-access \ --service-principle stacksets.cloudformation.amazonaws.com $ aws organizations disable-aws-service-access \ --service-principle member.org.stacksets.cloudformation.amazonaws.com

    これらのコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess