使用 AWS Organizations 为堆栈集激活可信访问权限
本主题提供有关如何使用 AWS Organizations 激活 StackSets 所需的可信访问,以通过服务托管权限跨账户和 AWS 区域 进行部署的说明。要使用自行管理权限,请参阅 授予自行管理的权限。
在创建具有服务托管权限的堆栈集之前,您必须先完成以下任务:
-
在 AWS Organizations 中启用所有功能。仅启用了整合账单功能时,您无法创建具有服务托管权限的堆栈集。
-
激活 AWS Organizations 的可信访问权限。激活可信访问权限后,StackSets 会在您创建具有服务托管权限的堆栈集时,在组织的管理账户和目标(成员)账户中创建所需的 IAM 角色。
激活可信访问权限后,管理账户和委派管理员账户可以为其组织创建和管理服务托管堆栈集。
要激活可信访问权限,您必须是管理账户的管理员用户。管理员用户 是对您的 AWS 账户拥有完全权限的用户。有关更多信息,请参阅《AWS Account Management 参考指南》中的创建管理员用户。有关保护管理账户安全的建议,请参阅《AWS Organizations 用户指南》中的管理账户最佳实践。
激活可信访问权限
-
以管理账户的管理员身份登录 AWS,并通过 https://console.aws.amazon.com/cloudformation
打开 CloudFormation 控制台。 -
从导航窗格中,选择 StackSets (堆栈集)。如果停用可信访问权限,则会显示一个横幅,提示您激活可信访问权限。
-
选择激活可信访问权限。
显示以下横幅即表明可信访问权限已成功激活。
注意
“激活组织访问权限”与“启用组织访问权限”相同,“停用组织访问权限”与“禁用组织访问权限”相同。这些术语已根据营销指南进行更新。
停用可信访问权限
请参阅《AWS Organizations 用户指南》 中的 AWS CloudFormation StackSets 和 AWS Organizations。
必须先注销所有委派管理员,然后才能停用 AWS Organizations 的可信访问权限。有关更多信息,请参阅 注册委托管理员。
注意
有关如何使用 API 操作而不是控制台来激活或停用可信访问权限的信息,请参阅:
服务相关角色
管理账户使用 AWSServiceRoleForCloudFormationStackSetsOrgAdmin 服务相关角色。只有在停用了 AWS Organizations 的可信访问权限时,您才能修改或删除此角色。
各目标账户使用 awsServiceRoleformationsStacksetsorgMember 服务相关角色。只有在满足以下两个条件时,您才能修改或删除此角色:停用了 AWS Organizations 的可信访问权限时,或者从目标组织或组织部门(OU)中删除了账户。
有关更多信息,请参阅《AWS Organizations 用户指南》中的 AWS CloudFormation StackSets 和 AWS Organizations。
