AWS CloudFormation StackSets および AWS Organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudFormation StackSets および AWS Organizations

AWS CloudFormation StackSets を使用すると、複数の AWS アカウント および にまたがるスタックを 1 回のオペレーション AWS リージョン で作成、更新、または削除できます。 と StackSets の統合 AWS Organizations により、各メンバーアカウントで関連するアクセス許可を持つサービスにリンクされたロールを使用して、サービス管理アクセス許可を持つスタックセットを作成できます。これにより、組織内のメンバーアカウントにスタックインスタンスをデプロイできるようになります。必要な AWS Identity and Access Management ロールを作成する必要はありません。 は、ユーザーに代わって各メンバーアカウントにIAMロール StackSets を作成します。

また、将来組織に追加されるアカウントへの自動デプロイを有効にすることもできます。自動デプロイを有効にすると、今後その OU に追加されるすべてのアカウントにロールと関連するスタックセットインスタンスのデプロイが自動的に追加されるようになります。

StackSets と Organizations 間の信頼されたアクセスを有効にすると、管理アカウントには組織のスタックセットを作成および管理するためのアクセス許可があります。管理アカウントは、委任管理者として最大 5 つのメンバーアカウントを登録できます。信頼されたアクセスが有効になっていると、組織のスタックセットを作成および管理するためのアクセス許可が委任管理者にも付与されます。サービスマネージド型のアクセス許可を持つスタックセットは、委任された管理者によって作成されたスタックセットを含め、管理アカウントに作成されます。

重要

委任された管理者は、組織内のアカウントにデプロイするための完全なアクセス許可を持っています。管理アカウントは、特定の にデプロイしたり、特定のスタックセットオペレーションを実行OUsしたりするための委任管理者権限を制限することはできません。

Organizations StackSets との統合の詳細については、「 AWS CloudFormation ユーザーガイド」の「 の使用 AWS CloudFormation StackSets」を参照してください。

次の情報は、 AWS CloudFormation StackSets との統合に役立ちます AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Stacksets AWS CloudFormation はサポートされているオペレーションを組織内のアカウント内で実行できます。

このロールを削除または変更できるのは、 AWS CloudFormation StackSets と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • 管理アカウント: AWSServiceRoleForCloudFormationStackSetsOrgAdmin

サービスにリンクされたロール AWSServiceRoleForCloudFormationStackSetsOrgMember を組織内のメンバーアカウントに作成するには、始めに管理アカウントにスタックセットを作成する必要があります。これにより、スタックセットインスタンスが作成され、メンバーアカウントにロールが作成されます。

  • メンバーアカウント: AWSServiceRoleForCloudFormationStackSetsOrgMember

スタックセットの作成の詳細については、「 AWS CloudFormation ユーザーガイド」の「 の使用 AWS CloudFormation StackSets」を参照してください。

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。 AWS CloudFormation Stacksets で使用されるサービスにリンクされたロールは、次のサービスプリンシパルへのアクセスを許可します。

  • 管理アカウント: stacksets.cloudformation.amazonaws.com

    このロールを変更または削除できるのは、 StackSets と Organizations 間の信頼されたアクセスを無効にした場合のみです。

  • メンバーアカウント: member.org.stacksets.cloudformation.amazonaws.com

    このロールを変更または削除できるのは、 StackSets と Organizations 間の信頼されたアクセスを最初に無効にした場合、またはターゲット組織または組織単位 (OU) からアカウントを最初に削除した場合のみです。

AWS CloudFormation StackSets との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Organizations 管理アカウントの管理者のみが、別の AWS サービスで信頼されたアクセスを有効にするアクセス許可を持っています。 AWS CloudFormation コンソールまたは Organizations コンソールを使用して、信頼されたアクセスを有効にできます。

信頼されたアクセスは、 を使用してのみ有効にできます AWS CloudFormation StackSets。

Stacksets コンソールを使用して信頼されたアクセスを有効にするには、 AWS CloudFormation AWS CloudFormation 「 ユーザーガイド」の「 で信頼されたアクセスを有効にする AWS Organizations」を参照してください。

AWS CloudFormation StackSets との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Organizations 管理アカウントの管理者のみが、別の AWS サービスへの信頼されたアクセスを無効にするアクセス許可を持っています。信頼されたアクセスの無効化には、Organizations コンソールを使用する必要があります。使用中に Organizations との信頼されたアクセスを無効にすると StackSets、以前に作成したすべてのスタックインスタンスが保持されます。ただし、サービスにリンクされたロールのアクセス許可を使用してデプロイされたスタックセットは、Organizations によって管理されるアカウントへのデプロイを実行できなくなります。

信頼されたアクセスは、 AWS CloudFormation コンソールまたは Organizations コンソールを使用して無効にできます。

重要

信頼されたアクセスをプログラムで無効にした場合 ( AWS CLI または などAPI)、アクセス許可は削除されることに注意してください。 AWS CloudFormation コンソールで信頼されたアクセスを無効にすることをお勧めします。

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの で Organizations APIオペレーションを呼び出します AWS SDKs。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを無効にするには
  1. AWS Organizations コンソール にサインインします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS CloudFormation ]StackSets を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. 「 の信頼されたアクセスを無効にする AWS CloudFormation StackSets」ダイアログボックスで、「確認のために無効化」と入力し、「信頼されたアクセスを無効にする」を選択します。

  6. の管理者のみの場合は AWS Organizations、 の管理者に、サービスコンソールまたはツール を使用して、そのサービスが で AWS Organizations 動作することを無効にできるようになった AWS CloudFormation StackSets ことを知らせます。

AWS CLI, AWS API
Organizations CLI/ を使用して信頼されたサービスアクセスを無効にするにはSDK

次の AWS CLI コマンドまたはAPIオペレーションを使用して、信頼されたサービスへのアクセスを無効にできます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行して、Organizations で信頼されたサービス AWS CloudFormation StackSets として を無効にします。

    $ aws organizations disable-aws-service-access \ --service-principal stacksets.cloudformation.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: D isableAWSServiceアクセス

Stacksets AWS CloudFormation の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、 AWS CloudFormation StackSets の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。これにより、組織の管理と Stacksets AWS CloudFormation の管理を分離できます。

メンバーアカウントを組織の AWS CloudFormation StackSets の委任管理者として指定する手順については、AWS CloudFormation ユーザーガイド委任された管理者の登録を参照してください。