# AWS Organizations를 사용하여 StackSet에 대한 신뢰할 수 있는 액세스 활성화
<a name="stacksets-orgs-activate-trusted-access"></a>

이 주제에서는 AWS Organizations에서 신뢰할 수 있는 액세스를 활성화하는 방법에 대한 지침을 제공하며, 이는 StackSets에서 *서비스 관리형* 권한을 사용하여 계정 및 AWS 리전 전체에서 배포하는 경우 필요합니다. *자체 관리형* 권한을 사용하려면 [자체 관리형 권한 부여](stacksets-prereqs-self-managed.md) 섹션을 대신 참조하세요.

서비스 관리형 권한으로 StackSet를 생성하기 전에 먼저 다음 작업을 완료해야 합니다.
+ AWS Organizations의 [모든 기능을 활성화](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)합니다. 통합 결제 기능만 활성화하면 서비스 관리형 권한으로 StackSet를 생성할 수 없습니다.
+ AWS Organizations를 사용하여 신뢰할 수 있는 액세스를 활성화합니다. 이 작업을 통해 CloudFormation은 관리 계정에서 서비스 연결 역할을 생성할 수 있습니다. 신뢰할 수 있는 액세스가 활성화된 후 서비스 관리형 권한으로 StackSet를 생성하면 CloudFormation은 대상 멤버 계정에서 이름이 `stacksets-exec-*`인 서비스 역할 및 필요한 서비스 연결 역할을 모두 생성합니다.

  신뢰할 수 있는 액세스를 활성화하면 관리 계정 및 위임된 관리자 계정으로 조직의 서비스 관리형 StackSet를 생성하고 관리할 수 있습니다.

신뢰할 수 있는 액세스를 활성화하려면 관리 계정의 관리자 사용자여야 합니다. *관리자 사용자*는 AWS 계정에 대한 모든 권한을 가진 사용자입니다. 자세한 내용은 *AWS Account Management 참조 안내서*의 [관리자 사용자 생성하기](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html)를 참조하세요. 관리 계정의 보안을 보호하기 위한 권장 사항은 *AWS Organizations 사용 설명서*의 [관리 계정의 모범 사례](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)를 참조하세요.

**신뢰할 수 있는 액세스를 활성화하려면 다음을 수행하세요.**

1. 관리 계정의 관리자로 AWS에 로그인하고 [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation)에서 CloudFormation 콘솔을 엽니다.

1. 탐색 창에서 **스택 세트**를 선택합니다. 신뢰할 수 있는 액세스가 비활성화된 경우 신뢰할 수 있는 액세스를 활성화하라는 메시지가 배너에 표시됩니다.  
![\[신뢰할 수 있는 액세스 배너를 활성화합니다.\]](http://docs.aws.amazon.com/ko_kr/AWSCloudFormation/latest/UserGuide/images/console-stacksets-enable-trusted-access-from-stacksets-list-new.png)

1. **신뢰할 수 있는 액세스 활성화**를 선택합니다.

   다음 배너가 표시되면 신뢰할 수 있는 액세스가 성공적으로 활성화된 것입니다.  
![\[신뢰할 수 있는 액세스가 성공적으로 활성화되었습니다 배너.\]](http://docs.aws.amazon.com/ko_kr/AWSCloudFormation/latest/UserGuide/images/console-stackset-trusted-access-enabled-banner-new.png)
**참고**  
조직 액세스 활성화는 조직 액세스 사용 설정과 동일하고 조직 액세스 비활성화는 조직 액세스 사용 중지와 동일합니다. 이 약관은 마케팅 지침에 따라 업데이트되었습니다.

**신뢰할 수 있는 액세스를 비활성화하려면**  
*AWS Organizations 사용 설명서*의 [CloudFormation StackSets and AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html)를 참조하세요.

AWS Organizations에서 신뢰할 수 있는 액세스를 비활성화하기 전에 모든 위임된 관리자를 등록 취소해야 합니다. 자세한 내용은 [위임된 관리자 등록](stacksets-orgs-delegated-admin.md) 섹션을 참조하세요.

**참고**  
콘솔 대신 API 작업을 사용하여 신뢰할 수 있는 액세스를 활성화하거나 비활성화하는 방법에 대한 자세한 내용은 다음을 참조하세요.  
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeactivateOrganizationsAccess.html)
[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DescribeOrganizationsAccess.html)

## 서비스 연결 역할
<a name="stacksets-orgs-service-linked-roles"></a>

관리 계정은 **AWSServiceRoleForCloudFormationStackSetsOrgAdmin** 서비스 연결 역할을 사용합니다. AWS Organizations에서 신뢰할 수 있는 액세스가 비활성화된 경우에만 이 역할을 수정하거나 삭제할 수 있습니다.

각 대상 계정은 **AWSServiceRoleForCloudFormationStackSetsOrgMember** 서비스 연결 역할을 사용합니다. 이 역할은 두 가지 조건에서만 수정하거나 삭제할 수 있습니다. AWS Organizations에서 신뢰할 수 있는 액세스가 비활성화된 경우 또는 대상 조직이나 조직 단위(OU)에서 계정이 제거된 경우입니다.

자세한 내용은 *AWS Organizations 사용 설명서*의 [CloudFormation StackSets 및 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html)를 참조하세요.

# 위임된 관리자 멤버 계정 등록
<a name="stacksets-orgs-delegated-admin"></a>

조직의 관리 계정에 더해 위임된 관리자 권한이 있는 멤버 계정으로 조직의 서비스 관리형 권한을 사용하여 StackSet를 생성하고 관리할 수 있습니다. 위임된 관리자가 생성한 StackSet를 포함하여 서비스 관리형 권한이 있는 StackSet가 관리 계정에 생성됩니다. 조직의 위임된 관리자로 등록하려면 해당 멤버 계정이 조직에 있어야 합니다. 조직 가입에 대한 자세한 내용은 [조직에 가입할 AWS 계정 초대](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)를 참조하세요.

조직에서 한 번에 최대 5명의 위임된 관리자를 등록할 수 있습니다. 위임된 관리자는 조직의 모든 계정 또는 특정 OU에 배포하도록 선택할 수 있습니다. 위임된 관리자가 Organizations에서 관리하는 계정에 배포하려면 먼저 AWS Organizations에서 신뢰할 수 있는 액세스를 활성화해야 합니다. 자세한 내용은 [AWS Organizations를 사용하여 StackSet에 대한 신뢰할 수 있는 액세스 활성화](stacksets-orgs-activate-trusted-access.md) 섹션을 참조하세요.

**중요**  
다음에 유의하세요.  
위임된 관리자는 조직의 계정에 배포할 수 있는 모든 권한을 가집니다. 관리 계정은 위임된 관리자 권한을 특정 OU에 배포하는 권한 또는 특정 StackSet 작업을 수행하는 권한으로 제한할 수 없습니다.
잠재적 오류를 방지하기 위해 위임된 관리자에게 `organizations:ListDelegatedAdministrators` 권한이 있는지 확인합니다.

미국 동부(오하이오), 미국 동부(버지니아 북부), 미국 서부(캘리포니아 북부), 미국 서부(오리건), 아시아 태평양(뭄바이), 아시아 태평양(서울), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), 캐나다(중부), 유럽(프랑크푸르트), 유럽(아일랜드), 유럽(런던), 유럽(파리), 유럽(스톡홀름), 이스라엘(텔아비브), 남아메리카(상파울루), AWS GovCloud(미국 동부) 및 AWS GovCloud(미국 서부) 리전에서 조직의 위임된 관리자를 등록할 수 있습니다.

[CloudFormation 콘솔](https://console.aws.amazon.com/cloudformation/), [AWS CLI](https://aws.amazon.com/cli/) 또는 [AWS SDK](https://aws.amazon.com/developer/tools/)를 사용하여 위임된 관리자를 등록하고 등록 취소할 수 있습니다.

## 위임된 관리자를 추가하려면(콘솔)
<a name="stacksets-orgs-register-delegated-admin-console"></a>

1. 관리 계정의 관리자로 AWS에 로그인하고 [https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/)에서 CloudFormation 콘솔을 엽니다.

1. 탐색 창에서 **스택 세트**를 선택합니다.

1. [**위임된 관리자(Delegated administrators)**]에서 [**위임된 관리자 등록(Register delegated administrator)**]을 선택합니다.

1. [**위임된 관리자 등록(Register delegated administrator)**] 대화 상자에서 [**위임된 관리자 등록(Register delegated administrator)**]을 선택합니다.

   성공 메시지는 멤버 계정이 위임된 관리자로 성공적으로 등록되었음을 나타냅니다.

## 위임된 관리자를 등록 취소하려면(콘솔)
<a name="stacksets-orgs-deregister-delegated-admin-console"></a>

1. 관리 계정의 관리자로 AWS에 로그인하고 [https://console.aws.amazon.com/](https://console.aws.amazon.com/)에서 CloudFormation 콘솔을 엽니다.

1. 탐색 창에서 **스택 세트**를 선택합니다.

1. [**위임된 관리자(Delegated administrators)**]에서 등록 취소할 계정을 선택한 다음 [**등록 취소(Deregister)**]를 선택합니다.

   성공 메시지는 멤버 계정이 위임된 관리자로 성공적으로 등록 취소되었음을 나타냅니다.

   언제든지 이 계정을 다시 등록할 수 있습니다.

## 위임된 관리자 등록 방법(AWS CLI)
<a name="stacksets-orgs-register-delegated-admin-cli"></a>

1. AWS CLI을 엽니다.

1. `register-delegated-administrator` 명령을 실행합니다.

   ```
   $ aws organizations register-delegated-administrator \
     --service-principal=member.org.stacksets.cloudformation.amazonaws.com \
     --account-id="memberAccountId"
   ```

1. `list-delegated-administrators` 명령을 실행하여 지정된 멤버 계정이 위임된 관리자로 성공적으로 등록되었는지 확인합니다.

   ```
   $ aws organizations list-delegated-administrators \
     --service-principal=member.org.stacksets.cloudformation.amazonaws.com
   ```

## 위임된 관리자를 등록 취소 방법(AWS CLI)
<a name="stacksets-orgs-deregister-delegated-admin-cli"></a>

1. AWS CLI을 엽니다.

1. `deregister-delegated-administrator` 명령을 실행합니다.

   ```
   $ aws organizations deregister-delegated-administrator \
     --service-principal=member.org.stacksets.cloudformation.amazonaws.com \
     --account-id="memberAccountId"
   ```

1. `list-delegated-administrators` 명령을 실행하여 지정된 멤버 계정이 위임된 관리자로 성공적으로 등록 취소되었는지 확인합니다.

   ```
   $ aws organizations list-delegated-administrators \
     --service-principal=member.org.stacksets.cloudformation.amazonaws.com
   ```

   언제든지 이 계정을 다시 등록할 수 있습니다.