激活 Amazon Organizations 的可信访问权限
要为创建具有自行管理的权限的堆栈集设置所需权限,请参阅 授予自行管理的权限。
在创建具有服务托管权限的堆栈集之前,您必须先完成以下任务:
-
在 Amazon Organizations 中启用所有功能。仅启用了整合账单功能时,您无法创建具有服务托管权限的堆栈集。
-
激活 Amazon Organizations 的可信访问权限。激活可信访问权限后,StackSets 会在您创建具有服务托管权限的堆栈集时,在组织的管理账户和目标(成员)账户中创建所需的 IAM 角色。
注意
在管理账户中创建的服务相关的 IAM 角色具有后缀
CloudFormationStackSetsOrgAdmin。只有在停用了 Amazon Organizations 的可信访问权限时,您才能修改或删除此角色。在每个目标帐户中创建的 IAM 服务相关角色具有后缀CloudFormationStackSetsOrgMember。只有在停用了 Amazon Organizations 的可信访问权限时,或者如果从目标组织或组织部门(OU)中删除了账户时,您才能修改或删除此角色。
有关使用 API 管理可信访问权限的更多信息,请参阅:
注意
中国(北京)和中国(宁夏)区域目前不支持为 Amazon CloudFormation StackSets 激活 Amazon Organizations 的可信访问权限。
只有管理账户中的账户管理员才有权激活可信访问权限。管理员用户 是对您的 Amazon 账户拥有完全权限的 IAM 用户。有关更多信息,请参阅《IAM 用户指南》中的 IAM 最佳实践和创建您的第一个 IAM 管理员用户和组。
激活可信访问权限后,管理账户和委派管理员账户可以为其组织创建和管理服务托管堆栈集。
在创建 StackSet 向导中激活可信访问权限
请参阅创建具有服务托管权限的堆栈集。
使用 Amazon CloudFormation 控制台激活可信访问权限
-
以管理账户的管理员身份登录 Amazon,并通过 https://console.amazonaws.cn/
打开 Amazon CloudFormation 控制台。 -
从导航窗格中,选择 StackSets (堆栈集)。如果停用可信访问权限,则会显示一个横幅,提示您激活可信访问权限。
-
选择激活可信访问权限。
显示以下横幅即表明可信访问权限已成功激活。
注意
“激活组织访问权限”与“启用组织访问权限”相同,“停用组织访问权限”与“禁用组织访问权限”相同。这些术语已根据营销指南进行更新。
在 Amazon Organizations 控制台的 Amazon 服务的可信访问权限页面中激活可信访问权限
请参阅《Amazon Organizations 用户指南》 中的 Amazon CloudFormation StackSets 和 Amazon Organizations。
停用可信访问权限
请参阅《Amazon Organizations 用户指南》 中的 Amazon CloudFormation StackSets 和 Amazon Organizations。
必须先注销所有委派管理员,然后才能停用 Amazon Organizations 的可信访问权限。有关更多信息,请参阅 注册委托管理员。