# 使用 Amazon Organizations 为 StackSet 激活可信访问权限
<a name="stacksets-orgs-activate-trusted-access"></a>

本主题提供有关如何使用 Amazon Organizations 激活 StackSets 所需的可信访问，以通过*服务托管*权限跨账户和 Amazon Web Services 区域 进行部署的说明。要使用*自行管理*权限，请参阅 [授予自行管理的权限](stacksets-prereqs-self-managed.md)。

在创建具有服务托管权限的 StackSet 之前，您必须先完成以下任务：
+ 在 Amazon Organizations 中[启用所有功能](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。仅启用了整合账单功能时，您无法创建具有服务托管权限的 StackSet。
+ 激活 Amazon Organizations 的可信访问权限。此操作允许 CloudFormation 在管理帐户中创建服务关联角色。激活可信访问权限后，当您创建具有服务管理权限的 StackSet 时，CloudFormation 会在目标（成员）账户中创建必要的服务关联角色和名为 `stacksets-exec-*` 的服务角色。

  激活可信访问权限后，管理账户和委派管理员账户可以为组织创建和管理服务托管 StackSet。

要激活可信访问权限，您必须是管理账户的管理员用户。*管理员用户* 是对您的 Amazon Web Services 账户拥有完全权限的用户。有关更多信息，请参阅*《Amazon 账户管理 参考指南》*中的[创建管理员用户](https://docs.amazonaws.cn/accounts/latest/reference/getting-started-step4.html)。有关保护管理账户安全的建议，请参阅*《Amazon Organizations 用户指南》*中的[管理账户最佳实践](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)。

**激活可信访问权限**

1. 以管理账户的管理员身份登录 Amazon，并通过 [https://console.amazonaws.cn/cloudformation](https://console.amazonaws.cn/cloudformation) 打开 CloudFormation 控制台。

1. 从导航窗格中，选择 **StackSets**。如果停用可信访问权限，则会显示一个横幅，提示您激活可信访问权限。  
![\[激活可信访问权限横幅。\]](http://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/images/console-stacksets-enable-trusted-access-from-stacksets-list-new.png)

1. 选择**激活可信访问权限**。

   显示以下横幅即表明可信访问权限已成功激活。  
![\[可信访问权限已成功激活横幅。\]](http://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/images/console-stackset-trusted-access-enabled-banner-new.png)
**注意**  
“激活组织访问权限”与“启用组织访问权限”相同，“停用组织访问权限”与“禁用组织访问权限”相同。这些术语已根据营销指南进行更新。

**停用可信访问权限**  
请参阅《Amazon Organizations 用户指南》** 中的 [Amazon CloudFormation StackSets 和 Amazon Organizations](https://docs.amazonaws.cn/organizations/latest/userguide/services-that-can-integrate-cloudformation.html)。

必须先注销所有委派管理员，然后才能停用 Amazon Organizations 的可信访问权限。有关更多信息，请参阅 [注册委派管理员](stacksets-orgs-delegated-admin.md)。

**注意**  
有关如何使用 API 操作而不是控制台来激活或停用可信访问权限的信息，请参阅：  
[https://docs.amazonaws.cn/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html](https://docs.amazonaws.cn/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html)
[https://docs.amazonaws.cn/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html](https://docs.amazonaws.cn/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html)
[https://docs.amazonaws.cn/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html](https://docs.amazonaws.cn/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html)

## 服务关联角色
<a name="stacksets-orgs-service-linked-roles"></a>

管理账户使用 **AWSServiceRoleForCloudFormationStackSetsOrgAdmin** 服务相关角色。只有在停用了 Amazon Organizations 的可信访问权限时，您才能修改或删除此角色。

各目标账户使用 **awsServiceRoleformationsStacksetsorgMember** 服务相关角色。只有在满足以下两个条件时，您才能修改或删除此角色：停用了 Amazon Organizations 的可信访问权限时，或者从目标组织或组织部门（OU）中删除了账户。

有关更多信息，请参阅*《Amazon Organizations 用户指南》*中的 [Amazon CloudFormation StackSets 和 Amazon Organizations](https://docs.amazonaws.cn/organizations/latest/userguide/services-that-can-integrate-cloudformation.html)。