使用 Amazon Organizations 为堆栈集激活可信访问权限 - Amazon CloudFormation
服务相关角色
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon Organizations 为堆栈集激活可信访问权限

注意

中国(北京)和中国(宁夏)区域目前不支持为 Amazon CloudFormation StackSets 激活的可信访问权限。

本主题提供有关如何使用 Amazon Organizations 激活 StackSets 所需的可信访问,以通过服务托管权限跨账户和 Amazon Web Services 区域 进行部署的说明。要使用自行管理权限,请参阅 授予自行管理的权限

在创建具有服务托管权限的堆栈集之前,您必须先完成以下任务:

  • 在 Amazon Organizations 中启用所有功能。仅启用了整合账单功能时,您无法创建具有服务托管权限的堆栈集。

  • 激活 Amazon Organizations 的可信访问权限。此操作允许 CloudFormation 在管理帐户中创建服务关联角色。激活可信访问后,当您创建具有服务管理权限的堆栈集时,CloudFormation 会在目标(成员)账户中创建必要的服务关联角色和名为 stacksets-exec-* 的服务角色。

    激活可信访问权限后,管理账户和委派管理员账户可以为其组织创建和管理服务托管堆栈集。

要激活可信访问权限,您必须是管理账户的管理员用户。管理员用户 是对您的 Amazon Web Services 账户拥有完全权限的用户。有关更多信息,请参阅《Amazon 账户管理 参考指南》中的创建管理员用户。有关保护管理账户安全的建议,请参阅《Amazon Organizations 用户指南》中的管理账户最佳实践

激活可信访问权限

  1. 以管理账户的管理员身份登录 Amazon,并通过 https://console.amazonaws.cn/cloudformation 打开 CloudFormation 控制台。

  2. 从导航窗格中,选择 StackSets。如果停用可信访问权限,则会显示一个横幅,提示您激活可信访问权限。

    激活可信访问权限横幅。

  3. 选择激活可信访问权限

    显示以下横幅即表明可信访问权限已成功激活。

    可信访问权限已成功激活横幅。
    注意

    “激活组织访问权限”与“启用组织访问权限”相同,“停用组织访问权限”与“禁用组织访问权限”相同。这些术语已根据营销指南进行更新。

停用可信访问权限

请参阅《Amazon Organizations 用户指南》 中的 Amazon CloudFormation StackSets 和 Amazon Organizations

必须先注销所有委派管理员,然后才能停用 Amazon Organizations 的可信访问权限。有关更多信息,请参阅 注册委托管理员

注意

有关如何使用 API 操作而不是控制台来激活或停用可信访问权限的信息,请参阅:

服务相关角色

管理账户使用 AWSServiceRoleForCloudFormationStackSetsOrgAdmin 服务相关角色。只有在停用了 Amazon Organizations 的可信访问权限时,您才能修改或删除此角色。

各目标账户使用 awsServiceRoleformationsStacksetsorgMember 服务相关角色。只有在满足以下两个条件时,您才能修改或删除此角色:停用了 Amazon Organizations 的可信访问权限时,或者从目标组织或组织部门(OU)中删除了账户。

有关更多信息,请参阅《Amazon Organizations 用户指南》中的 Amazon CloudFormation StackSets 和 Amazon Organizations