Amazon CloudFormation StackSets 和 Amazon Organizations - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon CloudFormation StackSets 和 Amazon Organizations

Amazon CloudFormation利用 StackSets,您可以跨多个堆栈创建、更新或删除堆栈 Amazon Web Services 账户 和 Amazon Web Services 区域 使用单个操作。StackSets 与集成Amazon Organizations允许您使用在每个成员帐户中具有相关权限的服务链接角色创建具有服务托管权限的堆栈集。这允许您将堆栈实例部署到组织中的成员账户。您无需创建必要的Amazon Identity and Access Management角色;StackSets 代表您在每个成员账户中创建 IAM 角色。您还可以选择为将来添加到组织的账户启用自动部署。

启用 StackSets 和 Organizations 之间的可信访问权限后,管理帐户有权为您的组织创建和管理堆栈集。管理帐户最多可以将五个成员帐户注册为委派管理员。启用可信访问权限后,委派管理员还有权为您的组织创建和管理堆栈集。具有服务托管权限的堆栈集是在管理账户中创建的,包括由委托管理员创建的堆栈集。

重要

委托管理员具有部署到组织中的账户的完全权限。管理账户不能限制委托管理员部署到特定 OU 或执行特定堆栈集操作的权限。

有关将 StackSets 成到 Organizations 的更多信息,请参阅使用AmazonCloudFormation StackSets中的 Amazon CloudFormation 用户指南.

使用以下信息可帮助您集成Amazon CloudFormationStackSetsAmazon Organizations.

启用集成时创建的与服务相关的角色

以下服务相关角色启用可信访问时,会自动在组织管理账户中创建。此角色允许Amazon CloudFormation堆栈集,用于在组织中组织的帐户中执行受支持的操作。

只有在禁用Amazon CloudFormation堆栈集和 Organizations,或者如果您从组织中删除成员帐户。

  • 管理账户CloudFormationStackSetsOrgAdmin

  • 成员账户:CloudFormationStackSetsOrgMember

服务相关角色使用的服务承担者

上一节中的服务链接角色只能由为角色定义的信任关系授权的服务承担者担任。将服务相关角色用于Amazon CloudFormation堆栈集授予对以下服务主体的访问权限:

  • 管理账户stacksets.cloudformation.amazonaws.com

    只有在 StackSets 和 Organizations 之间禁用了可信访问时,您才能修改或删除此角色。

  • 成员账户:member.org.stacksets.cloudformation.amazonaws.com

    只有在您首次禁用 StackSets 和 Organizations 之间的可信访问时,或者如果您首先从目标组织或组织部门 (OU) 中删除了账户时,您才能从账户中修改或删除此角色。

使用启用可信访问权限Amazon CloudFormation堆栈集

有关启用可信访问所需权限的信息,请参阅允许可信访问所需的权限.

只有 Organizations 管理账户的管理员才有权使用另一个Amazon服务。您可以使用Amazon CloudFormation控制台或 Organizations 控制台。

您只能使用启用可信访问权限Amazon CloudFormationStackSets。

要使用启用可信访问,请使用Amazon CloudFormationStackSets 控制台,请参阅使用 启用可信访问Amazon Organizations中的 Amazon CloudFormation 用户指南。

启用委托管理员账户Amazon CloudFormation堆栈集

将成员帐户指定为组织的委派管理员时,该帐户中的用户和角色可以对Amazon CloudFormation否则只能由组织管理帐户中的用户或角色执行的堆栈集。这可以帮助您将组织的管理与Amazon CloudFormation堆栈集。

有关如何将成员帐户指定为Amazon CloudFormation组织中的堆栈集,请参阅注册委托管理员中的Amazon CloudFormation用户指南.