AWS CloudFormation StackSets と AWS Organizations

AWS CloudFormationStackSets を使用すると、複数のスタックを作成、更新、または削除できます。 AWS アカウント および AWS リージョン を 1 回の操作で操作します。とStackSets 統合AWS Organizationsでは、各メンバーアカウントに関連するアクセス許可を持つサービスリンクロールを使用して、サービス管理のアクセス許可を持つスタックセットを作成できます。これにより、組織内のメンバーアカウントにスタックインスタンスをデプロイできます。必要な作成する必要はありません。AWS Identity and Access Managementロールを使用します。StackSets は、ユーザーに代わって各メンバーアカウントに IAM ロールを作成します。将来組織に追加されるアカウントへの自動デプロイを有効にすることもできます。

StackSets と Organizations 間の信頼されたアクセスを有効にすると、管理アカウントには、組織のスタックセットを作成および管理するためのアクセス許可が与えられます。管理アカウントは、委任された管理者として最大 5 つのメンバーアカウントを登録できます。トラステッドアクセスを有効にすると、委任された管理者には、組織のスタックセットを作成および管理するためのアクセス許可も付与されます。サービスマネージド型のアクセス許可を持つスタックセットは、委任された管理者によって作成されたスタックセットを含む、管理アカウントに作成されます。

重要

委任された管理者は、組織内のアカウントにデプロイするための完全なアクセス許可を持っています。管理アカウントでは、特定の OU にデプロイしたり、特定のスタックセットの操作を実行したりする、委任された管理者のアクセス許可を制限することはできません。

StackSets とOrganizations を統合する方法の詳細については、「」を参照してください。の使用AWSCloudFormation stackSets()ユーザーガイド。

以下の情報を参考にして、統合を行います。AWS CloudFormationStackSetsAWS Organizations。

統合を有効にしたときに作成されるサービスリンクロール

以下のようになりますサービスにリンクされたロールは、信頼されたアクセスを有効にすると、組織の管理カウントに自動的に作成されます。このロールにより、AWS CloudFormationスタックセットを使用すると、組織内の組織のアカウント内でサポートされている操作を実行できます。

このロールを削除または変更できるのは、AWS CloudFormationスタックセットとOrganizations、または組織からメンバーアカウントを削除した場合。

• 管理アカウント:CloudFormationStackSetsOrgAdmin

• メンバーアカウント:CloudFormationStackSetsOrgMember

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスリンクロールは、ロールに定義された信頼関係によって承認されたサービスプリンシパルによってのみ引き受けることができます。によって使用されるサービスにリンクされたロールAWS CloudFormationスタックセットは、次のサービスプリンシパルへのアクセスを許可します。

• 管理アカウント:stacksets.cloudformation.amazonaws.com

  このロールを変更または削除できるのは、StackSets と Organizations ganization 間の信頼されたアクセスを無効にした場合のみです。

• メンバーアカウント:member.org.stacksets.cloudformation.amazonaws.com

  アカウントからこのロールを変更または削除できるのは、StackSets と Organization 間の信頼されたアクセスを最初に無効にする場合、またはターゲットOrganizations または組織単位 (OU) からアカウントを削除した場合のみです。

で信頼されたアクセスを有効にします。AWS CloudFormationStacksets

信頼されたアクセスを有効にするには、」信頼されたアクセスを有効にするために必要なアクセス許可。

Organizations 管理アカウントの管理者だけが、別のによる信頼されたアクセスを有効にするアクセス許可を持っています。AWSのサービス。信頼されたアクセスを有効にするには、AWS CloudFormationコンソールまたは Organizations コンソールでは。

で信頼されたアクセスを有効にするには、AWS CloudFormationStackSets ツール

で信頼されたアクセスを有効にします。AWS CloudFormationスタックセットコンソールの詳細については、で信頼されたアクセスを有効にするAWS Organizations「」(ユーザーガイド) を参照してください。

で信頼されたアクセスを無効にします。AWS CloudFormationStacksets

信頼されたアクセスを無効にするアクセス許可の詳細については、」を参照してください。信頼されたアクセスを無効にするために必要なアクセス許可。

Organizations 管理アカウントの管理者だけが、別のによる信頼されたアクセスを無効にするアクセス許可を持っています。AWSのサービス。信頼されたアクセスを無効にするには、Organizations コンソールを使用します。StackSets の使用中に Organizations による信頼されたアクセスを無効にすると、以前に作成されたすべてのスタックインスタンスが保持されます。ただし、サービスにリンクされたロールのアクセス許可を使用してデプロイされたスタックセットは、Organizations によって管理されるアカウントへのデプロイを実行することはできなくなります。

信頼されたアクセスを無効にするには、Organizations ツールを使用するのが唯一の方法です。

信頼されたアクセスを無効にするには、AWS Organizationsコンソール、Organizations を実行することによってAWS CLIコマンドを使用するか、Organizations の API オペレーションをAWS向け SDK

AWS Management Console

Organizations コンソールを使用して信頼されたサービスアクセスを無効にするには

1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに登録します。

2. リポジトリの []サービスページで、AWS CloudFormationStackSetsをクリックし、サービスの名前を選択します。

3. 選択信頼されたアクセスの無効化。

4. 確認ダイアログボックスで、[] を入力します。disable[] ボックスの [] で [] を選択します。信頼されたアクセスの無効化。

5. あなただけの管理者である場合AWS Organizationsの管理者にAWS CloudFormationコンソールまたはツールを使用してそのサービスを無効にできるStackSetsAWS Organizations。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたサービスアクセスを無効にするには

以下を使用できます。AWS CLIサービスへの信頼されたアクセスを無効にするには、次のコマンドまたは API オペレーションを使用できます。

• AWS CLI:aws service-access

  以下のコマンドを実行して、無効にします。AWS CloudFormationStackSets は、Organizations 信頼済みサービスとしてです。

  $ aws organizations disable-aws-service-access \
      --service-principal stacksets.cloudformation.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: DisableAWSServiceAccess

で委任された管理者アカウントを有効にします。AWS CloudFormationStacksets

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールはAWS CloudFormationそれ以外の場合は、組織の管理アカウント内のユーザーまたはロールのみが実行できるスタックセット。これは、の管理から組織の管理を分離するのに役立ちますAWS CloudFormationStackSets.

メンバーアカウントを委任管理者として指定する方法については、AWS CloudFormation組織内のスタックセットについては、委任された管理者の登録()AWS CloudFormationユーザーガイド。