Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations. - AWS CloudFormation
Service-verknüpfte Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie den vertrauenswürdigen Zugriff für StackSets mit AWS Organizations.

Dieses Thema enthält Anweisungen zur Aktivierung des vertrauenswürdigen Zugriffs mit,AWS Organizations der von StackSets für die kontenübergreifende Bereitstellung und AWS-Regionen mit serviceverwalteten Berechtigungen benötigt wird. Um selbstverwaltete Berechtigungen zu verwenden, lesen Sie stattdessen Selbstverwaltete Berechtigungen erteilen .

Bevor Sie ein StackSet mit dienstverwalteten Berechtigungen erstellen, müssen Sie zunächst die folgenden Aufgaben erledigen:

  • Alle Features in AWS Organizations aktivieren. Wenn nur die konsolidierten Abrechnungsfeatures aktiviert sind, können Sie kein StackSet mit serviceverwalteten Berechtigungen erstellen.

  • Aktivieren Sie den vertrauenswürdigen Zugriff mit AWS Organizations. Diese Aktion ermöglicht es CloudFormation, eine mit einem Dienst verknüpfte Rolle im Verwaltungskonto zu erstellen. Wenn Sie nach der Aktivierung des vertrauenswürdigen Zugriffs ein StackSet mit dienstverwalteten Berechtigungen erstellen, erstellt CloudFormation sowohl die erforderliche dienstverknüpfte Rolle als auch eine Dienstrolle mit dem Namen stacksets-exec-* in den Zielkonten (Mitgliederkonten).

    Wenn der vertrauenswürdige Zugriff aktiviert ist, können das Verwaltungskonto und delegierte Administratorkonten serviceverwaltete StackSets für ihre Organisation erstellen und verwalten.

Um den vertrauenswürdigen Zugriff zu aktivieren, müssen Sie ein Administrator-Benutzer im Verwaltungskonto sein. Ein Administrator-Benutzer ist ein Benutzer mit vollen Rechten für Ihr AWS-Konto. Weitere Informationen finden Sie in Erstellen eines Administratorbenutzers im AWS -Kontenverwaltung Referenzhandbuch. Empfehlungen zum Schutz der Sicherheit des Verwaltungskontos finden Sie unter Best Practices für das Verwaltungskonto im AWS Organizations Benutzerhandbuch.

So aktivieren Sie den vertrauenswürdigen Zugriff

  1. Melden Sie sich bei AWS als Administrator des Management-Kontos an und öffnen Sie die CloudFormation-Konsole unter https://console.aws.amazon.com/cloudformation.

  2. Wählen Sie im Navigationsbereich StackSets aus. Wenn der vertrauenswürdige Zugriff deaktiviert ist, wird ein Banner mit einem Prompt angezeigt, den vertrauenswürdigen Zugriff zu aktivieren.

    Banner „Vertrauenswürdigen Zugriff aktivieren“

  3. Wählen Sie Vertrauenswürdigen Zugriff aktivieren aus.

    Der vertrauenswürdige Zugriff ist erfolgreich aktiviert, wenn das folgende Banner angezeigt wird.

    Banner „Vertrauenswürdiger Zugriff erfolgreich aktiviert“
    Anmerkung

    „Organisationszugriff aktivieren“ ist dasselbe wie „Organisationszugriff aktivieren“ und „Organisationszugriff deaktivieren“ ist dasselbe wie „Organisationszugriff deaktivieren“. Diese Bedingungen wurden auf der Grundlage von Marketingrichtlinien aktualisiert.

Deaktivieren des vertrauenswürdigen Zugriffs

Siehe CloudFormation StackSets und AWS Organizations im AWS Organizations Benutzerhandbuch.

Bevor Sie den vertrauenswürdigen Zugriff mit AWS Organizations deaktivieren können, müssen Sie alle delegierten Administratoren abmelden. Weitere Informationen finden Sie unter Einen delegierten Administrator registrieren.

Anmerkung

Informationen über die Verwendung von API-Vorgängen anstelle der Konsole, um den vertrauenswürdigen Zugriff zu aktivieren oder zu deaktivieren, finden Sie unter:

Service-verknüpfte Rollen

Das Verwaltungskonto verwendet die AWSServiceRoleForCloudFormationStackSetsOrgAdmin service-linked role. Sie können diese Rolle nur ändern oder löschen, wenn der vertrauenswürdige Zugriff mit AWS Organizations deaktiviert ist.

Jedes Zielkonto verwendet eine AWSServiceRoleForCloudFormationStackSetsOrgMember service-verknüpfte Rolle. Sie können diese Rolle nur unter zwei Bedingungen ändern oder löschen: wenn der vertrauenswürdige Zugriff mit AWS Organizations deaktiviert wird oder wenn das Konto aus der Zielorganisation oder Organisationseinheit (OU) entfernt wird.

Weitere Informationen finden Sie unter CloudFormation StackSets und AWS Organizations im AWS Organizations Benutzerhandbuch.