使用 AWS Organizations 启用可信访问。 - AWS CloudFormation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 AWS Organizations 启用可信访问。

要设置所需权限以创建具有自行管理的权限的堆栈集,请参阅授予自行管理的权限

在创建具有服务托管权限的堆栈集之前,您必须先完成以下任务:

  • 在 AWS Organizations 中启用所有功能。仅启用了整合账单功能时,您无法创建具有服务托管权限的堆栈集。

  • 使用 AWS Organizations 启用可信访问。启用可信访问后,在您创建具有服务托管权限的堆栈集时,StackSets 在管理员帐户(AWS Organizations 主账户)和目标帐户中创建所需的 IAM 角色。

    注意

    在组织主帐户中创建的 IAM 服务相关角色具有后缀 CloudFormationStackSetsOrgAdmin。只有在使用 AWS Organizations 禁用了可信访问时,您才能修改或删除此角色。在每个目标帐户中创建的 IAM 服务相关角色具有后缀 CloudFormationStackSetsOrgMember。只有在使用 AWS Organizations 禁用了可信访问时,或者如果从目标组织或组织部门 (OU) 中删除了账户时,您才能修改或删除此角色。

本主题介绍如何使用 AWS Organizations 启用可信访问。

只有 AWS Organizations 主账户中的账户管理员才有权启用可信访问。管理员用户 是对您的 AWS 账户拥有完全权限的 IAM 用户。有关更多信息,请参阅 IAM 用户指南 中的 IAM 最佳实践创建您的第一个 IAM 管理员用户和组

要在创建 StackSet 向导中启用可信访问,请执行以下操作:

请参阅创建具有服务托管权限的堆栈集

要在 AWS CloudFormation 控制台的 StackSets 页面中启用可信访问,请执行以下操作:

  1. 确定哪个 AWS 账户是管理员账户。对于具有服务托管权限的堆栈集,管理员帐户是 AWS Organizations 主帐户。

    堆栈集是在此管理员(主)账户中创建的。目标账户 是将堆栈实例部署到的账户。

  2. 以主账户管理员身份登录 AWS,并通过 https://console.aws.amazon.com/ 打开 AWS CloudFormation 控制台。

  3. 从导航窗格中,选择 StackSets (堆栈集)。如果禁用可信访问,则会显示一个横幅,提示您启用可信访问。

    
                        启用可信访问横幅。
  4. 选择 Enable trusted access (启用可信访问)

    显示以下横幅即表明可信访问已成功启用。

    
                        可信访问已成功启用横幅。

要在 AWS Organizations 控制台的 Trusted access for AWS services (AWS 服务的可信访问) 页面中启用可信访问,请执行以下操作:

请参阅 AWS Organizations 用户指南中的 AWS CloudFormation StackSets 和 AWS Organizations

要禁用可信访问,请执行以下操作:

请参阅 AWS Organizations 用户指南中的 AWS CloudFormation StackSets 和 AWS Organizations