翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Data Lifecycle Manager のデフォルトポリシーを作成する
インスタンスから EBS-backed AMI を定期的に作成する場合、EBS-backed AMI のデフォルトポリシーを使用します。アタッチ状態に関係なくすべてのボリュームのスナップショットを作成する場合、または特定のボリュームを除外する場合は、EBS スナップショットのデフォルトポリシーを使用します。
このセクションでは、デフォルトポリシーを作成する方法について説明します。
**Topics**
+ [デフォルトポリシーに関する考慮事項](#default-policy-considerations)
+ [Amazon EBS スナップショットのデフォルトポリシーを作成する](#default-snapshot-policy)
+ [EBS-backed AMI のデフォルトポリシーを作成する](#default-ami-policy)
+ [アカウントとリージョン間でデフォルトポリシーを有効にする](dlm-stacksets.md)
## デフォルトポリシーに関する考慮事項
デフォルトポリシーを使用する際には、次の点に注意してください。
+ デフォルトポリシーでは、最近のバックアップ (スナップショットまたは AMI) があるターゲットリソース (インスタンスまたはボリューム) をバックアップしません。作成頻度によって、どのリソースがバックアップされるかが決まります。ボリュームまたはインスタンスは、最新のスナップショットまたは AMI がポリシーの作成頻度よりも古い場合にのみバックアップされます。例えば、作成頻度を 3 日に指定した場合、EBS スナップショットのデフォルトポリシーでは、最新のスナップショットが 3 日より前のボリュームのスナップショットのみが作成されます。
+ デフォルトでは、除外パラメータが指定されていない限り、デフォルトポリシーはそのリージョン内のすべてのインスタンスまたはボリュームをターゲットとします。
+ デフォルトポリシーでは、一意のスナップショットの最小セットを作成します。例えば、EBS-backed AMI ポリシーと EBS スナップショットポリシーを有効にした場合、スナップショットポリシーでは、EBS-backed AMI ポリシーで既にバックアップされているボリュームのスナップショットを複製しません。
+ デフォルトポリシーでは、24 時間以上経過したリソースのみをターゲットにし始めます。
+ ボリュームを削除するか、デフォルトポリシーのターゲットとなるインスタンスを終了すると、Amazon Data Lifecycle Manager は、保持期間に従って、それまで作成されたバックアップ (スナップショットまたは AMI) を最後の 1 つ前のバックアップまで削除し続けます。必要がない場合は、このバックアップを手動で削除する必要があります。
Amazon Data Lifecycle Manager で最後のバックアップを削除する場合は、*[削除を延長]* を有効にします。
+ デフォルトポリシーが削除されるか、エラーまたは無効状態になると、Amazon Data Lifecycle Manager は以前に作成されたバックアップ (スナップショットまたは AMI) の削除を停止します。Amazon Data Lifecycle Manager で、最後の 1 つを含むバックアップの削除を続行する場合は、ポリシーを削除する前、またはポリシーの状態が「無効」または「削除済み」に変わる前に、*[削除を延長]* を有効にする必要があります。
+ デフォルトポリシーを作成して有効にすると、Amazon Data Lifecycle Manager はターゲットリソースを 4 時間の時間ウィンドウにランダムに割り当てます。ターゲットリソースは、割り当てられたウィンドウ中に、指定した作成頻度でバックアップされます。例えば、ポリシーの作成頻度が 3 日で、ターゲットリソースが 12 時~16 時のウィンドウに割り当てられている場合、そのリソースは 3 日ごとに 12 時~16 時の間にバックアップされます。
## Amazon EBS スナップショットのデフォルトポリシーを作成する
次の手順では、EBS スナップショットのデフォルトポリシーを作成する方法を示します。
------
#### [ Console ]
**EBS スナップショットのデフォルトポリシーを作成するには**
1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。
1. ナビゲーションパネルで、**[ライフサイクルマネージャー]**、**[ライフサイクルポリシーの作成]** の順に選択します。
1. **[ポリシータイプ]** で **[デフォルトポリシー]** を選択し、次に **[EBS スナップショットポリシー]** を選択します。
1. [**説明**] にポリシーの簡単な説明を入力します。
1. **[IAM ロール]** で、スナップショットを管理する許可を持つ IAM ロールを選択します。
Amazon Data Lifecycle Manager が提供するデフォルトの IAM ロールを使用する場合は、**[デフォルト]** を選択することをお勧めします。ただし、以前に作成したカスタム IAM ロールを使用することもできます。
1. **[作成頻度]** で、ポリシーを実行してボリュームのスナップショットを作成する頻度を指定します。
指定する頻度によって、どのボリュームをバックアップするかも決まります。このポリシーにより、指定した頻度内に他の手段でバックアップされていないボリュームのみがバックアップされます。例えば、作成頻度を 3 日に指定した場合、このポリシーでは、過去 3 日以内にバックアップされていないボリュームのスナップショットのみが作成されます。
1. **[保持期間]** には、作成されたスナップショットをポリシーで保持する期間を指定します。スナップショットが保持しきい値に達すると、自動的に削除されます。保持期間は、作成頻度と同じか長くする必要があります。
1. (*オプション*) **[除外パラメータ]** を設定すると、スケジュールされたバックアップから特定のボリュームを除外できます。除外されたボリュームは、ポリシー実行時にバックアップされません。
1. ブートボリュームを除外するには、**[ブート・ボリュームを除外]** を選択します。ブートボリュームを除外すると、データ (非ブート) ボリュームのみがポリシーでバックアップされます。つまり、インスタンスにブートボリュームとしてアタッチされているボリュームのスナップショットは作成されません。
1. 特定のボリュームタイプを除外するには、**[特定のボリュームタイプを除外]** を選択し、除外するボリュームタイプを選択します。残りのタイプのボリュームのみがポリシーでバックアップされます。
1. 特定のタグを持つボリュームを除外するには、**[タグを追加]** を選択し、タグのキーと値を指定します。このポリシーでは、指定したタグのいずれかを持つボリュームのスナップショットは作成されません。
1. (*オプション*) **[詳細設定]** で、ポリシーで実行する必要があるその他のアクションを指定します。
1. 割り当てられたタグをソースボリュームからスナップショットにコピーするには、**[ボリュームからタグをコピー]** を選択します。
1. **[拡張削除]** を無効にした場合:
+ ソースボリュームが削除された場合、Amazon Data Lifecycle Manager は、保持期間に基づいて、それまで作成された、最後の 1 つ前のスナップショットまで削除し続けます。Amazon Data Lifecycle Manager で、最後の 1 つを含むすべてのスナップショットを削除する場合は、**[拡張削除]** を選択します。
+ ポリシーが削除されるか、`error` または `disabled` 状態になると、Amazon Data Lifecycle Manager はスナップショットの削除を停止します。Amazon Data Lifecycle Manager で、最後の 1 つを含むスナップショットの削除を続行する場合は、**[拡張削除]** を選択します。
**注記**
[拡張削除] を有効にすると、上記の両方の動作が同時にオーバーライドされます。
1. ポリシーによって作成されたスナップショットを他のリージョンにコピーするには、**[クロスリージョンコピーを作成]** を選択し、送信先リージョンを最大 3 つ選択します。
+ ソーススナップショットが暗号化されている場合、または送信先リージョンで暗号化がデフォルトで有効になっている場合には、コピーされたスナップショットは、送信先リージョンの EBS 暗号化用のデフォルト KMS キーを使用して暗号化されます。
+ ソーススナップショットが暗号化されておらず、送信先リージョンで暗号化がデフォルトで無効になっている場合、コピーされたスナップショットは暗号化されません。
1. (*オプション*) ポリシーにタグを追加するには、**[タグを追加]** を選択し、タグのキーと値のペアを指定します。
1. **[デフォルトポリシーの作成]** を選択します。
**注記**
`Role with name AWSDataLifecycleManagerDefaultRole already exists` エラーが発生した場合、詳細については「[Amazon Data Lifecycle Manager の問題のトラブルシューティング](dlm-troubleshooting.md)」を参照してください。
------
#### [ AWS CLI ]
**EBS スナップショットのデフォルトポリシーを作成するには**
[create-lifecycle-policy](https://docs.aws.amazon.com/cli/latest/reference/dlm/create-lifecycle-policy.html) コマンドを使用します。ユースケースやプリファレンスに応じて、次の 2 つの方式のいずれかでリクエストパラメータを指定できます。
+ **方式 1**
```
$ aws dlm create-lifecycle-policy \
--state ENABLED | DISABLED \
--description "policy_description" \
--execution-role-arn role_arn \
--default-policy VOLUME \
--create-interval creation_frequency_in_days (1-7) \
--retain-interval retention_period_in_days (2-14) \
--copy-tags | --no-copy-tags \
--extend-deletion | --no-extend-deletion \
--cross-region-copy-targets TargetRegion=destination_region_code \
--exclusions ExcludeBootVolumes=true | false, ExcludeTags=[{Key=tag_key,Value=tag_value}], ExcludeVolumeTypes="standard | gp2 | gp3 | io1 | io2 | st1 | sc1"
```
例えば、リージョン内のすべてのボリュームをターゲットとし、デフォルトの IAM ロールを使用し、毎日実行し (デフォルト)、スナップショットを 7 日間保持する (デフォルト) という設定の EBS スナップショットのデフォルトポリシーを作成する場合は、次のパラメータを指定する必要があります。
```
$ aws dlm create-lifecycle-policy \
--state ENABLED \
--description "Daily default snapshot policy" \
--execution-role-arn arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRole \
--default-policy VOLUME
```
+ **方式 2**
```
$ aws dlm create-lifecycle-policy \
--state ENABLED | DISABLED \
--description "policy_description" \
--execution-role-arn role_arn \
--default-policy VOLUME \
--policy-details file://policyDetails.json
```
ここで `policyDetails.json` には以下が含まれます。
```
{
"PolicyLanguage": "SIMPLIFIED",
"PolicyType": "EBS_SNAPSHOT_MANAGEMENT",
"ResourceType": "VOLUME",
"CopyTags": true | false,
"CreateInterval": creation_frequency_in_days (1-7),
"RetainInterval": retention_period_in_days (2-14),
"ExtendDeletion": true | false,
"CrossRegionCopyTargets": [{"TargetRegion":"destination_region_code"}],
"Exclusions": {
"ExcludeBootVolume": true | false,
"ExcludeVolumeTypes": ["standard | gp2 | gp3 | io1 | io2 | st1 | sc1"],
"ExcludeTags": [{
"Key": "exclusion_tag_key",
"Value": "exclusion_tag_value"
}]
}
}
```
------
## EBS-backed AMI のデフォルトポリシーを作成する
次の手順では、EBS-backed AMI のデフォルトポリシーを作成する方法を示します。
------
#### [ Console ]
**EBS-backed AMI のデフォルトポリシーを作成するには**
1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。
1. ナビゲーションパネルで、**[ライフサイクルマネージャー]**、**[ライフサイクルポリシーの作成]** の順に選択します。
1. **[ポリシータイプ]** に **[デフォルトポリシー]** を選択し、次に **[EBS-backed AMI ポリシー]** を選択します。
1. [**説明**] にポリシーの簡単な説明を入力します。
1. **[IAM ロール]** で、AMI を管理する許可を持つ IAM ロールを選択します。
Amazon Data Lifecycle Manager が提供するデフォルトの IAM ロールを使用する場合は、**[デフォルト]** を選択することをお勧めします。ただし、以前に作成したカスタム IAM ロールを使用することもできます。
1. **[作成頻度]** では、ポリシーを実行してインスタンスから AMI を作成する頻度を指定します。
指定する頻度によって、どのインスタンスがバックアップされるかも決まります。このポリシーにより、指定した頻度内に他の手段でバックアップされていないインスタンスのみがバックアップされます。例えば、作成頻度を 3 日に指定した場合、このポリシーでは、過去 3 日以内にバックアップされていないインスタンスからのみ AMI が作成されます。
1. **[保持期間]** には、作成された AMI をポリシーで保持する期間を指定します。AMI が保持しきい値に達すると、その AMI は自動的に登録解除され、関連付けられているスナップショットが削除されます。保持期間は、作成頻度と同じか長くする必要があります。
1. (*オプション*) **[除外パラメータ]** を設定すると、スケジュールされたバックアップから特定のインスタンスを除外できます。除外されたインスタンスは、ポリシー実行時にバックアップされません。
1. 特定のタグを持つインスタンスを除外するには、**[タグを追加]** を選択し、タグのキーと値を指定します。このポリシーでは、指定したタグのいずれかを持つインスタンスからは AMI が作成されません。
1. (*オプション*) **[詳細設定]** で、ポリシーで実行する必要があるその他のアクションを指定します。
1. 割り当てられたタグをソースインスタンスからその AMI にコピーするには、**[インスタンスからタグをコピー]** を選択します。
1. **[拡張削除]** を無効にした場合:
+ ソースインスタンスが終了した場合、Amazon Data Lifecycle Manager は、保持期間に基づいて、それまで作成された、最後の 1 つ前の AMI まで登録解除し続けます。Amazon Data Lifecycle Manager で、最後の 1 つを含むすべての AMI の登録を解除する場合は、**[拡張削除]** を選択します。
+ ポリシーが削除されるか、`error` または `disabled` 状態になると、Amazon Data Lifecycle Manager は AMI の登録解除を停止します。Amazon Data Lifecycle Manager で、最後の 1 つを含む AMI の登録解除を続行する場合は、**[拡張削除]** を選択します。
**注記**
拡張削除を有効にすると、上記の両方の動作が同時にオーバーライドされます。
1. ポリシーによって作成された AMI を他のリージョンにコピーするには、**[クロスリージョンコピーを作成]** を選択し、送信先リージョンを最大 3 つ選択します。
+ ソース AMI が暗号化されている場合、または送信先リージョンで暗号化がデフォルトで有効になっている場合には、コピーされた AMI は、送信先リージョンの EBS 暗号化用のデフォルト KMS キーを使用して暗号化されます。
+ ソース AMI が暗号化されておらず、送信先リージョンで暗号化がデフォルトで無効になっている場合、コピーされた AMI は暗号化されません。
1. (*オプション*) ポリシーにタグを追加するには、**[タグを追加]** を選択し、タグのキーと値のペアを指定します。
1. **[デフォルトポリシーの作成]** を選択します。
**注記**
`Role with name AWSDataLifecycleManagerDefaultRoleForAMIManagement already exists` エラーが発生した場合、詳細については「[Amazon Data Lifecycle Manager の問題のトラブルシューティング](dlm-troubleshooting.md)」を参照してください。
------
#### [ AWS CLI ]
**EBS-backed AMI のデフォルトポリシーを作成するには**
[create-lifecycle-policy](https://docs.aws.amazon.com/cli/latest/reference/dlm/create-lifecycle-policy.html) コマンドを使用します。ユースケースやプリファレンスに応じて、次の 2 つの方式のいずれかでリクエストパラメータを指定できます。
+ **方式 1**
```
$ aws dlm create-lifecycle-policy \
--state ENABLED | DISABLED \
--description "policy_description" \
--execution-role-arn role_arn \
--default-policy INSTANCE \
--create-interval creation_frequency_in_days (1-7) \
--retain-interval retention_period_in_days (2-14) \
--copy-tags | --no-copy-tags \
--extend-deletion | --no-extend-deletion \
--cross-region-copy-targets TargetRegion=destination_region_code \
--exclusions ExcludeTags=[{Key=tag_key,Value=tag_value}]
```
例えば、リージョン内のすべてのインスタンスをターゲットとし、デフォルトの IAM ロールを使用し、毎日実行し (デフォルト)、AMI を 7 日間保持する (デフォルト) という設定の EBS-backed AMI のデフォルトポリシーを作成する場合は、次のパラメータを指定する必要があります。
```
$ aws dlm create-lifecycle-policy \
--state ENABLED \
--description "Daily default AMI policy" \
--execution-role-arn arn:aws:iam::account_id:role/AWSDataLifecycleManagerDefaultRoleForAMIManagement \
--default-policy INSTANCE
```
+ **方式 2**
```
$ aws dlm create-lifecycle-policy \
--state ENABLED | DISABLED \
--description "policy_description" \
--execution-role-arn role_arn \
--default-policy INSTANCE \
--policy-details file://policyDetails.json
```
ここで `policyDetails.json` には以下が含まれます。
```
{
"PolicyLanguage": "SIMPLIFIED",
"PolicyType": "IMAGE_MANAGEMENT",
"ResourceType": "INSTANCE",
"CopyTags": true | false,
"CreateInterval": creation_frequency_in_days (1-7),
"RetainInterval": retention_period_in_days (2-14),
"ExtendDeletion": true | false,
"CrossRegionCopyTargets": [{"TargetRegion":"destination_region_code"}],
"Exclusions": {
"ExcludeTags": [{
"Key": "exclusion_tag_key",
"Value": "exclusion_tag_value"
}]
}
}
```
------
# アカウントとリージョン間で Data Lifecycle Manager のデフォルトポリシーを有効にする
CloudFormation StackSets を使用すると、1 回のオペレーションで複数のアカウントと AWS リージョンで Amazon Data Lifecycle Manager のデフォルトポリシーを有効にできます。
StackSets を使用して、次のいずれかの方法でデフォルトポリシーを有効にすることができます。
+ ** AWS 組織全体** — 組織全体または AWS 組織内の特定の組織単位にわたって、デフォルトのポリシーが一貫して有効になり、設定されていることを確認します。これは、*サービス管理のアクセス許可*を使用して行われます。 CloudFormation StackSets は、ユーザーに代わって必要な IAM ロールを作成します。
+ **特定の AWS アカウント全体** — 特定のターゲットアカウント間でデフォルトポリシーが一貫して有効になり、設定されていることを確認します。これには、*セルフマネージドアクセス許可*が必要です。StackSet 管理者アカウントとターゲットアカウント間の信頼関係を確立するために必要な IAM ロールを作成します。
詳細については、「*AWS CloudFormation ユーザーガイド*」の「[スタックセット用のアクセス許可モデル](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html#stacksets-concepts-stackset-permission-models)」を参照してください。
次の手順を使用して、 AWS 組織全体、特定の OUs、または特定のターゲットアカウントで Amazon Data Lifecycle Manager のデフォルトポリシーを有効にします。
**前提条件**
デフォルトポリシーを有効にする方法に応じて、以下のいずれかを実行します。
+ ( AWS 組織全体) [組織内のすべての機能を有効に](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)し、 [で信頼されたアクセスを有効にする AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-activate-trusted-access.html)必要があります。組織の管理アカウントまたは[委任管理者アカウント](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)にサインインする必要があります。
+ (特定のターゲットアカウント全体) StackSet 管理者アカウントとターゲットアカウントの間に信頼関係を確立するために必要なロールを作成して、[セルフマネージドアクセス許可を付与](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html)する必要があります。
------
#### [ Console ]
**AWS 組織全体または特定のターゲットアカウントでデフォルトポリシーを有効にするには**
1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソールを開きます。
1. ナビゲーションペインで **[StackSets]**、**[StackSet を作成]** の順に選択します。
1. **[アクセス許可]** で、デフォルトのポリシーを有効にする方法に応じて、次のいずれかを実行します。
+ ( AWS 組織全体) **サービス管理のアクセス許可**を選択します。
+ (特定のターゲットアカウント全体) **[セルフサービスアクセス許可]** を選択します。次に、**[IAM 管理ロール ARN]** で管理者アカウント用に作成した IAM サービスロールを選択し、**[IAM 実行ロール名]** にターゲットアカウントで作成した IAM サービスロールの名前を入力します。
1. **[テンプレートの準備]** で **[サンプルテンプレートを使用]** を選択します。
1. **[サンプルテンプレート]** で次のいずれかを実行します。
+ (EBS スナップショットのデフォルトポリシー) **[EBS スナップショットの Amazon Data Lifecycle Manager デフォルトポリシーの作成]** を選択します。
+ (EBS-backed AMI のデフォルトポリシー) **[EBS-backed AMI の Amazon Data Lifecycle Manager デフォルトポリシーの作成]** を選択します。
1. [**次へ**] を選択します。
1. **[StackSet 名]** と **[StackSet の説明]** に、わかりやすい名前と簡単な説明を入力します。
1. **[パラメータ]** セクションで、必要に応じてデフォルトのポリシー設定を設定します。
**注記**
重要なワークロードの場合、**CreateInterval = 1 日**、**RetainInterval = 7 日**をお勧めします。
1. [**次へ**] を選択します。
1. (オプション) **[タグ]** では、StackSet とスタックリソースを識別するのに役立つタグを指定します。
1. **[マネージド型の実行]** の場合は、**[アクティブ]** を選択します。
1. [**次へ**] を選択します。
1. **[Add stacks to stack set]** (スタックセットにスタックを追加) で、**[Deploy new stacks]** (新しいスタックのデプロイ) を選択します。
1. デフォルトポリシーを有効にする方法に応じて、以下のいずれかを実行します。
+ ( AWS 組織全体) **デプロイターゲット**では、次のいずれかのオプションを選択します。
+ AWS 組織全体にデプロイするには、**組織へのデプロイ**を選択します。
+ 特定の組織単位 (OU) にデプロイするには、**[組織単位 (OU) へのデプロイ]** を選択し、**[OU ID]** に OU ID を入力します。OU を追加するには、**[別の OU を追加]** を選択します。
+ (特定のターゲットアカウント全体) **[アカウント]** の場合は、次のいずれかを実行します。
+ 特定のターゲットアカウントにデプロイするには、**[スタックをアカウントにデプロイ]** を選択し、**[アカウント番号]** にターゲットアカウントの ID を入力します。
+ 特定の OU 内のすべてのアカウントにデプロイするには、**[スタックを組織単位内のすべてのアカウントにデプロイ]** を選択し、**[組織番号]** にターゲット OU の ID を入力します。
1. **[自動デプロイ]** で、**[アクティブ化済み]** を選択します。
1. **[アカウント削除の動作]** で、**[スタックを保持]** を選択します。
1. **[リージョンの指定]** では、デフォルトポリシーを有効にする特定のリージョンを選択するか、**[すべてのリージョンを追加]** を選択してすべてのリージョンでデフォルトポリシーを有効にします。
1. [**次へ**] を選択します。
1. スタックセット設定を確認し、 **が IAM リソースを作成する CloudFormation 可能性があることを確認**してから、**送信**を選択します。
------
#### [ AWS CLI ]
**AWS 組織全体でデフォルトポリシーを有効にするには**
1. スタックセットを作成します。[create-stack-set](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html) コマンドを使用します。
`--permission-model` の場合、`SERVICE_MANAGED` を指定します。
`--template-url` で、次のいずれかのテンプレート URL を指定します。
+ (EBS-backed AMI のデフォルトポリシー) `https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml`
+ (EBS スナップショットのデフォルトポリシー) `https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml`
`--parameters` で、デフォルトポリシーの設定を指定します。サポートされているパラメータ、パラメータの説明、および有効な値については、URL を使用してテンプレートをダウンロードし、テキストエディタを使用してテンプレートを表示します。
`--auto-deployment` の場合、`Enabled=true, RetainStacksOnAccountRemoval=true` を指定します。
```
$ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--permission-model SERVICE_MANAGED \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"
```
1. スタックセットをデプロイします。[create-stack-instances](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html) コマンドを使用します。
`--stack-set-name` で、前のステップで作成したスタックセットの名前を指定します。
`--deployment-targets OrganizationalUnitIds` で、組織全体にデプロイするルート OU の ID、または組織内の特定の OU にデプロイする OU ID を指定します。
で`--regions`、デフォルトポリシーを有効にする AWS リージョンを指定します。
```
$ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--deployment-targets OrganizationalUnitIds='["root_ou_id"]' | '["ou_id_1", "ou_id_2]' \
--regions '["region_1", "region_2"]'
```
**特定のターゲットアカウント間でデフォルトポリシーを有効にするには**
1. スタックセットを作成します。[create-stack-set](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-set.html) コマンドを使用します。
`--template-url` で、次のいずれかのテンプレート URL を指定します。
+ (EBS-backed AMI のデフォルトポリシー) `https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerAMIDefaultPolicy.yaml`
+ (EBS スナップショットのデフォルトポリシー) `https://s3.amazonaws.com/cloudformation-stackset-sample-templates-us-east-1/DataLifecycleManagerEBSSnapshotDefaultPolicy.yaml`
`--administration-role-arn` で、スタックセット管理者用に以前に作成した IAM サービスロールの ARN を指定します。
`--execution-role-name` で、ターゲットアカウントで作成した IAM サービスロールの名前を指定します。
`--parameters` で、デフォルトポリシーの設定を指定します。サポートされているパラメータ、パラメータの説明、および有効な値については、URL を使用してテンプレートをダウンロードし、テキストエディタを使用してテンプレートを表示します。
`--auto-deployment` の場合、`Enabled=true, RetainStacksOnAccountRemoval=true` を指定します。
```
$ aws cloudformation create-stack-set \
--stack-set-name stackset_name \
--template-url template_url \
--parameters "ParameterKey=param_name_1,ParameterValue=param_value_1" "ParameterKey=param_name_2,ParameterValue=param_value_2" \
--administration-role-arn administrator_role_arn \
--execution-role-name target_account_role \
--auto-deployment "Enabled=true, RetainStacksOnAccountRemoval=true"
```
1. スタックセットをデプロイします。[create-stack-instances](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack-instances.html) コマンドを使用します。
`--stack-set-name` で、前のステップで作成したスタックセットの名前を指定します。
には`--accounts`、ターゲット AWS アカウントの IDs を指定します。
で`--regions`、デフォルトポリシーを有効にする AWS リージョンを指定します。
```
$ aws cloudformation create-stack-instances \
--stack-set-name stackset_name \
--accounts '["account_ID_1","account_ID_2"]' \
--regions '["region_1", "region_2"]'
```
------