Habilitar as políticas padrão do Amazon Data Lifecycle Manager em várias contas e regiões

Usando AWS CloudFormation StackSets, você pode habilitar as políticas padrão do Amazon Data Lifecycle Manager em várias contas e AWS regiões com uma única operação.

Você pode usar conjuntos de pilhas para habilitar políticas padrão de uma das seguintes maneiras:

• Em toda a AWS organização — garante que as políticas padrão sejam habilitadas e configuradas de forma consistente em toda a AWS organização ou em unidades organizacionais específicas de uma organização. Isso é feito usando permissões gerenciadas pelo serviço. AWS CloudFormation StackSets cria as IAM funções necessárias em seu nome.

• Em AWS contas específicas — Garante que as políticas padrão sejam ativadas e configuradas de forma consistente em contas específicas de destino. Isso requer permissões autogerenciadas. Você cria as IAM funções necessárias para estabelecer a relação de confiança entre a conta do administrador do conjunto de pilhas e as contas de destino.

Para obter mais informações, consulte Modelos de permissões para conjuntos de pilhas no Guia do usuário do AWS CloudFormation .

Use os procedimentos a seguir para habilitar as políticas padrão do Amazon Data Lifecycle Manager em toda a AWS organização, em contas específicas ou em OUs contas-alvo específicas.

Pré-requisitos

Dependendo de como você estiver habilitando as políticas padrão, faça uma das seguintes alternativas:

• (Em todas AWS as organizações) Você deve habilitar todos os recursos em sua organização e ativar o acesso confiável com AWS Organizations. Você também deve usar a conta de gerenciamento da organização ou uma conta de administrador delegado.

• (Em contas de destino específicas) Você deve conceder permissões autogerenciadas criando os perfis necessários para estabelecer uma relação de confiança entre a conta de administrador do conjunto de pilhas e as contas de destino.

Console

Para habilitar políticas padrão em uma AWS organização ou em contas específicas

1. Abra o AWS CloudFormation console em https://console.aws.amazon.com/cloudformation.

2. No painel de navegação, escolha e, em seguida StackSets, escolha Criar StackSet.

3. Em Permissões, dependendo de como você estiver habilitando as políticas padrão, faça uma das seguintes alternativas:

   • (Em toda a AWS organização) Escolha as permissões gerenciadas pelo serviço.

   • (Em contas de destino específicas) Escolha Permissões de autoatendimento. Em seguida, para função de IAM administrador ARN, selecione a função de IAM serviço que você criou para a conta de administrador e, em nome da função de IAM execução, insira o nome da função de IAM serviço que você criou nas contas de destino.

4. Em Preparar modelo, escolha Usar um exemplo de modelo.

5. Em Exemplos de modelo, faça uma das seguintes alternativas:

   • (Política padrão para EBS snapshots) Selecione Criar políticas padrão do Amazon Data Lifecycle Manager para snapshots. EBS

   • (Política padrão para EBS -backedAMIs) Selecione Criar políticas padrão do Amazon Data Lifecycle Manager para -backed. EBS AMIs

6. Escolha Próximo.

7. Para StackSet nome e StackSet descrição, insira um nome descritivo e uma breve descrição.

8. Na seção Parâmetros, defina as configurações de política padrão conforme necessário.

   nota

   Para cargas de trabalho críticas, recomendamos CreateInterval = 1 dia e RetainInterval = 7 dias.

9. Escolha Próximo.

10. (Opcional) Para Tags, especifique tags para ajudá-lo a identificar StackSet e empilhar recursos.

11. Em Execução gerenciada, escolha Ativa.

12. Escolha Próximo.

13. Em Add stacks to stack set (Adicionar pilhas ao conjunto de pilhas), escolha Deploy new stacks (Implantar novas pilhas).

14. Dependendo de como você estiver habilitando as políticas padrão, faça uma das seguintes alternativas:

    • (Em toda a AWS organização) Para destinos de implantação, escolha uma das seguintes opções:

      • Para implantar em toda a AWS organização, escolha Implantar na organização.

      • Para implantar em unidades organizacionais (UO) específicas, escolha Implantar em unidades organizacionais e em ID da UO, insira o ID da UO. Para adicionar maisOUs, escolha Adicionar outra OU.

    • (Para contas de destino específicas) Em Contas, faça uma das seguintes alternativas:

      • Para implantar em contas de destino específicas, escolha Implantar pilhas em contas e, em Números da conta, insira as contas IDs de destino.

      • Para implantar em todas as contas em uma UO específica, escolha Implantar pilha em todas as contas de uma unidade organizacional e, em Números de organização, insira o ID da UO de destino.

15. Em Implantação automática, escolha Ativada.

16. Em Comportamento de remoção de conta, escolha Reter pilhas.

17. Em Especificar regiões, selecione as regiões específicas nas quais habilitar as políticas padrão ou escolha Adicionar todas as regiões para habilitar as políticas padrão em todas as regiões.

18. Escolha Próximo.

19. Revise as configurações do conjunto de pilhas, selecione Eu reconheço que AWS CloudFormation pode criar IAM recursos e, em seguida, escolha Enviar.

AWS CLI

Para habilitar políticas padrão em uma AWS organização

1. Crie o conjunto de pilhas. Use o comando da create-stack-set.

   Em --permission-model, especifique SERVICE_MANAGED.

   Para--template-url, especifique um dos seguintes modelosURLs:

   • (Políticas padrão para EBS -backedAMIs) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

   • (Políticas padrão para EBS instantâneos) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

   Em --parameters, especifique as configurações das políticas padrão. Para obter parâmetros compatíveis, descrições de parâmetros e valores válidos, baixe o modelo usando o URL e, em seguida, visualize o modelo usando um editor de texto.

   Em --auto-deployment, especifique Enabled=true, RetainStacksOnAccountRemoval=true.

   $ aws cloudformation create-stack-set \
   --stack-set-name stackset_name \
   --permission-model SERVICE_MANAGED \
   --template-url template_url \
   --parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
   --auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

2. Implante o conjunto de pilhas. Use o comando da create-stack-instances.

   Em --stack-set-name, especifique o nome do conjunto de pilhas que você criou na etapa anterior.

   Para--deployment-targets OrganizationalUnitIds, especifique o ID da OU raiz a ser implantada em uma organização inteira ou da OU IDs a ser implantada OUs em uma área específica da organização.

   Para--regions, especifique as AWS regiões nas quais habilitar as políticas padrão.

   $ aws cloudformation create-stack-instances \
   --stack-set-name stackset_name \
   --deployment-targets OrganizationalUnitIds='["root_ou_id"]' | '["ou_id_1", "ou_id_2]' \
   --regions '["region_1", "region_2"]'

Para habilitar as políticas padrão em contas de destino específicas

1. Crie o conjunto de pilhas. Use o comando da create-stack-set.

   Para--template-url, especifique um dos seguintes modelosURLs:

   • (Políticas padrão para EBS -backedAMIs) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml

   • (Políticas padrão para EBS instantâneos) https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml

   Para--administration-role-arn, especifique a função ARN de IAM serviço que você criou anteriormente para o administrador do conjunto de pilhas.

   Para--execution-role-name, especifique o nome da função de IAM serviço que você criou nas contas de destino.

   Em --parameters, especifique as configurações das políticas padrão. Para obter parâmetros compatíveis, descrições de parâmetros e valores válidos, baixe o modelo usando o URL e, em seguida, visualize o modelo usando um editor de texto.

   Em --auto-deployment, especifique Enabled=true, RetainStacksOnAccountRemoval=true.

   $ aws cloudformation create-stack-set \
   --stack-set-name stackset_name \
   --template-url template_url \
   --parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
   --administration-role-arn administrator_role_arn \
   --execution-role-name target_account_role \									
   --auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"

2. Implante o conjunto de pilhas. Use o comando da create-stack-instances.

   Em --stack-set-name, especifique o nome do conjunto de pilhas que você criou na etapa anterior.

   Para--accounts, especifique as AWS contas IDs de destino.

   Para--regions, especifique as AWS regiões nas quais habilitar as políticas padrão.

   $ aws cloudformation create-stack-instances \
   --stack-set-name stackset_name \
   --accounts '["account_ID_1","account_ID_2"]' \
   --regions '["region_1", "region_2"]'