激活 AWS Organizations 的可信访问权限

本主题提供有关如何使用 AWS Organizations 激活 StackSets 所需的可信访问，以通过服务托管权限跨账户和 AWS 区域进行部署的说明。要使用自行管理权限，请参阅授予自行管理的权限。

在创建具有服务托管权限的堆栈集之前，您必须先完成以下任务：

在 AWS Organizations 中启用所有功能。仅启用了整合账单功能时，您无法创建具有服务托管权限的堆栈集。
激活 AWS Organizations 的可信访问权限。激活可信访问权限后，StackSets 会在您创建具有服务托管权限的堆栈集时，在组织的管理账户和目标（成员）账户中创建所需的 IAM 角色。

注意
在管理账户中创建的服务相关的 IAM 角色具有后缀 CloudFormationStackSetsOrgAdmin。只有在停用了 AWS Organizations 的可信访问权限时，您才能修改或删除此角色。在每个目标帐户中创建的 IAM 服务相关角色具有后缀 CloudFormationStackSetsOrgMember。只有在停用了 AWS Organizations 的可信访问权限时，或者如果从目标组织或组织部门（OU）中删除了账户时，您才能修改或删除此角色。

只有管理账户中的账户管理员才有权激活可信访问权限。管理员用户 是对您的 AWS 账户拥有完全权限的 IAM 用户。有关更多信息，请参阅《IAM 用户指南》中的 IAM 最佳实践和创建您的第一个 IAM 管理员用户和组。

激活可信访问权限后，管理账户和委派管理员账户可以为其组织创建和管理服务托管堆栈集。

在创建 StackSet 向导中激活可信访问权限

请参阅创建具有服务托管权限的堆栈集。

使用 AWS CloudFormation 控制台激活可信访问权限

以管理账户的管理员身份登录 AWS，并通过 https://console.aws.amazon.com/ 打开 AWS CloudFormation 控制台。
从导航窗格中，选择 StackSets (堆栈集)。如果停用可信访问权限，则会显示一个横幅，提示您激活可信访问权限。
选择激活可信访问权限。

显示以下横幅即表明可信访问权限已成功激活。

注意
“激活组织访问权限”与“启用组织访问权限”相同，“停用组织访问权限”与“禁用组织访问权限”相同。这些术语已根据营销指南进行更新。