使用 AWS Organizations 启用可信访问。 - AWS CloudFormation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS Organizations 启用可信访问。

要设置所需权限以创建具有自行管理的权限的堆栈集,请参阅授予自行管理的权限

在创建具有服务托管权限的堆栈集之前,您必须先完成以下任务:

  • 在 AWS Organizations 中启用所有功能。仅启用了整合账单功能时,您无法创建具有服务托管权限的堆栈集。

  • 使用 AWS Organizations 启用可信访问。启用可信访问后,StackSets 会在您创建具有服务托管权限的堆栈集时,在组织的管理账户和目标(成员)账户中创建所需的 IAM 角色。

    注意

    在管理账户中创建的服务相关的 IAM 角色具有后缀 CloudFormationStackSetsOrgAdmin。只有在使用 AWS Organizations 禁用了可信访问时,您才能修改或删除此角色。在每个目标帐户中创建的 IAM 服务相关角色具有后缀 CloudFormationStackSetsOrgMember。只有在使用 AWS Organizations 禁用了可信访问时,或者如果从目标组织或组织部门 (OU) 中删除了账户时,您才能修改或删除此角色。

本主题介绍如何使用 AWS Organizations 管理可信访问。

注意

中国(北京)和中国(宁夏)区域目前不支持为 AWS CloudFormation Stackset 启用 AWS Organizations 的可信访问。

只有管理账户中的账户管理员才有权启用可信访问。管理员用户 是对您的 AWS 账户拥有完全权限的 IAM 用户。有关更多信息,请参阅 IAM 用户指南 中的 IAM 最佳实践创建您的第一个 IAM 管理员用户和组

启用可信访问后,管理账户和委托管理员账户可以为其组织创建和管理服务托管堆栈集。

要在 Create StackSet (创建 StackSet) 向导中启用可信访问,请执行以下操作:

请参阅创建具有服务托管权限的堆栈集

要使用 AWS CloudFormation 控制台启用可信访问,请执行以下操作:

  1. 以管理账户的管理员身份登录 AWS,并通过 https://console.aws.amazon.com/ 打开 AWS CloudFormation 控制台。

  2. 从导航窗格中,选择 StackSets (堆栈集)。如果禁用可信访问,则会显示一个横幅,提示您启用可信访问。

    
                        启用可信访问横幅。
  3. 选择 Enable trusted access (启用可信访问)

    显示以下横幅即表明可信访问已成功启用。

    
                        可信访问已成功启用横幅。

要在 AWS Organizations 控制台的 Trusted access for AWS services (AWS 服务的可信访问) 页面中启用可信访问,请执行以下操作:

请参阅 AWS Organizations 用户指南 中的 AWS CloudFormation StackSets 和 AWS Organizations

要禁用可信访问,请执行以下操作:

请参阅 AWS Organizations 用户指南 中的 AWS CloudFormation StackSets 和 AWS Organizations

您必须先取消注册所有委托管理员,然后才能使用 AWS Organizations 禁用可信访问。有关更多信息,请参阅注册委托管理员