堆栈集操作的区域和权限要求
由于堆栈集跨多个账户执行堆栈操作,您需要具有在您 AWS 账户中定义的必要权限,然后才能创建第一个堆栈集。
要为创建具有自行管理的权限的堆栈集设置所需权限,请参阅 执行涉及默认情况下禁用的区域的堆栈集操作 和 授予自行管理的权限。
要为创建具有服务托管权限的堆栈集设置所需权限,请参阅 执行涉及默认情况下禁用的区域的堆栈集操作 和 使用 Organizations 为堆栈集激活可信访问权限。
注意
中国(北京)和中国(宁夏)区域目前不支持为 AWS CloudFormation StackSets 激活 AWS Organizations 的可信访问权限。
执行涉及默认情况下禁用的区域的堆栈集操作
2019 年 3 月 20 日之后推出的 AWS 区域 默认处于禁用状态,如亚太地区(香港)。您必须先为您的账户启用这些区域,然后才能使用它们。因此,在执行堆栈集操作(这些操作涉及默认禁用的区域中的账户)前,请考虑以下事项。
-
要在默认为已被禁用的区域中从堆栈集的管理员账户(如果使用自行管理的权限)或组织的管理账户(如果使用服务托管权限)创建堆栈集,必须首先为管理员账户或管理账户启用该区域。
-
要使 AWS CloudFormation 成功创建或更新堆栈实例:
-
目标账户必须位于当前已为该目标账户启用的区域中。
-
堆栈集的管理员账户或组织的管理账户必须已经启用了与目标账户相同的区域。
-
重要
请注意,在堆栈集操作期间,除了所涉及的堆栈集和堆栈集实例外,管理员账户和目标账户还会交换有关账户本身的元数据。
此外,如果您停用的区域包含堆栈集实例所在的账户,您将负责删除任何此类实例或资源(根据需要)。此外,请注意,关于禁用区域中目标账户的元数据将保留在管理员账户中。
有关启用和禁用区域的更多信息,请参阅《AWS 一般参考》中的管理 AWS 区域。