使用 Organizations 为堆栈集激活可信访问权限 - Amazon CloudFormation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Organizations 为堆栈集激活可信访问权限

本主题提供有关如何使用 Amazon Organizations 激活 StackSets 所需的可信访问,以通过服务托管权限跨账户和 Amazon Web Services 区域 进行部署的说明。要使用自行管理权限,请参阅 授予自行管理的权限

在创建具有服务托管权限的堆栈集之前,您必须先完成以下任务:

  • 在 Amazon Organizations 中启用所有功能。仅启用了整合账单功能时,您无法创建具有服务托管权限的堆栈集。

  • 激活 Amazon Organizations 的可信访问权限。激活可信访问权限后,StackSets 会在您创建具有服务托管权限的堆栈集时,在组织的管理账户和目标(成员)账户中创建所需的 IAM 角色。

    注意

    在管理账户中创建的服务相关的 IAM 角色具有后缀 CloudFormationStackSetsOrgAdmin。只有在停用了 Amazon Organizations 的可信访问权限时,您才能修改或删除此角色。在每个目标帐户中创建的 IAM 服务相关角色具有后缀 CloudFormationStackSetsOrgMember。只有在停用了 Amazon Organizations 的可信访问权限时,或者如果从目标组织或组织部门(OU)中删除了账户时,您才能修改或删除此角色。

只有管理账户中的账户管理员才有权激活可信访问权限。管理员用户 是对您的 Amazon 账户拥有完全权限的 IAM 用户。有关更多信息,请参阅《IAM 用户指南》中的 IAM 最佳实践创建您的第一个 IAM 管理员用户和组

激活可信访问权限后,管理账户和委派管理员账户可以为其组织创建和管理服务托管堆栈集。

注意

中国(北京)和中国(宁夏)区域目前不支持为 Amazon CloudFormation StackSets 激活 Amazon Organizations 的可信访问权限。

创建 StackSet 向导中激活可信访问权限

请参阅 创建具有服务托管权限的堆栈集

使用 Amazon CloudFormation 控制台激活可信访问权限

  1. 以管理账户的管理员身份登录 Amazon,并通过 https://console.amazonaws.cn/ 打开 Amazon CloudFormation 控制台。

  2. 从导航窗格中,选择 StackSets (堆栈集)。如果停用可信访问权限,则会显示一个横幅,提示您激活可信访问权限。

    激活可信访问权限横幅。
  3. 选择激活可信访问权限

    显示以下横幅即表明可信访问权限已成功激活。

    可信访问权限已成功激活横幅。
    注意

    “激活组织访问权限”与“启用组织访问权限”相同,“停用组织访问权限”与“禁用组织访问权限”相同。这些术语已根据营销指南进行更新。

在 Amazon Organizations 控制台的 Amazon 服务的可信访问权限页面中激活可信访问权限

请参阅《Amazon Organizations 用户指南》 中的 Amazon CloudFormation StackSets 和 Amazon Organizations

停用可信访问权限

请参阅《Amazon Organizations 用户指南》 中的 Amazon CloudFormation StackSets 和 Amazon Organizations

必须先注销所有委派管理员,然后才能停用 Amazon Organizations 的可信访问权限。有关更多信息,请参阅 注册委托管理员

有关使用 API 管理可信访问权限的更多信息,请参阅: