기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS CloudFormation StackSets 및 AWS Organizations
CloudFormation StackSets를 사용하면 단일 작업 AWS 리전 으로 여러 AWS 계정 및에서 스택을 생성, 업데이트 또는 삭제할 수 있습니다. StackSets와 AWS Organizations 의 통합으로 고객은 각 멤버 계정에서 관련 권한을 보유한 서비스 연결 역할을 사용하여 서비스 관리형 권한이 있는 스택 세트를 생성할 수 있습니다. 이를 통해 조직의 멤버 계정에 스택 인스턴스를 배포할 수 있습니다. 필요한 AWS Identity and Access Management 역할을 생성할 필요가 없습니다. StackSets는 사용자를 대신하여 각 멤버 계정에 IAM 역할을 생성합니다.
나중에 조직에 추가되는 계정에 자동 배포를 활성화하기로 선택할 수도 있습니다. 자동 배포가 활성화되면 연결된 스택 세트 인스턴스의 역할 및 배포가 향후 해당 OU에 추가되는 모든 계정에 자동으로 추가됩니다.
StackSets와 Organizations 간의 신뢰할 수 있는 액세스가 활성화되면 관리 계정은 조직의 스택 세트를 생성하고 관리할 수 있는 권한을 보유하게 됩니다. 관리 계정은 최대 5개의 멤버 계정을 위임된 관리자로 등록할 수 있습니다. 신뢰할 수 있는 액세스를 활성화하면 위임된 관리자도 조직의 스택 세트를 생성하고 관리할 수 있는 권한을 갖습니다. 서비스 관리형 권한이 있는 스택 세트는 위임된 관리자가 생성한 스택 세트를 포함하여 관리 계정에 생성됩니다.
**중요**
위임된 관리자는 조직의 계정에 배포할 수 있는 모든 권한을 가집니다. 관리 계정은 위임된 관리자 권한을 특정 OU에 배포하는 권한 또는 특정 스택 세트 작업을 수행하는 권한으로 제한할 수 없습니다.
StackSets를 Organizations와 통합하는 방법에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [AWS CloudFormation StackSets 작업을](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) 참조하세요.
다음 정보를 사용하여 AWS CloudFormation StackSets를와 통합할 수 있습니다 AWS Organizations.
## 통합 활성화 시 서비스 연결 역할 생성
신뢰할 수 있는 액세스를 활성화하면 다음 [서비스 연결 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)이 조직의 관리 계정에 자동으로 생성됩니다. 이 역할을 통해 CloudFormation Stacksets는 조직의 계정 내에서 지원되는 작업을 수행할 수 있습니다.
CloudFormation Stacksets와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.
+ 관리 계정: `AWSServiceRoleForCloudFormationStackSetsOrgAdmin`
서비스 연결 역할 `AWSServiceRoleForCloudFormationStackSetsOrgMember`를 생성하려면 조직 내 멤버 계정의 경우 먼저 관리 계정에 스택 세트를 생성해야 합니다. 이렇게 하면 스택 세트 인스턴스가 생성되고, 멤버 계정에 역할이 생성됩니다.
+ 멤버 계정: `AWSServiceRoleForCloudFormationStackSetsOrgMember`
스택 세트 생성에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [AWS CloudFormation StackSets 사용](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)을 참조하세요.
## 서비스 연결 역할이 사용하는 서비스 보안 주체
앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. CloudFormation Stacksets에서 사용하는 서비스 연결 역할은 다음 서비스 보안 주체에 대한 액세스 권한을 부여합니다.
+ 관리 계정: `stacksets.cloudformation.amazonaws.com`
StackSets와 Organizations 간의 신뢰할 수 있는 액세스가 비활성화된 경우에만 이 역할을 수정하거나 삭제할 수 있습니다.
+ 멤버 계정: `member.org.stacksets.cloudformation.amazonaws.com`
StackSets와 Organizations 간의 신뢰할 수 있는 액세스를 먼저 비활성화하거나, 계정을 대상 조직 또는 조직 단위(OU)에서 먼저 제거한 경우에만 이 역할을 수정하거나 삭제할 수 있습니다.
## CloudFormation Stacksets를 사용하여 신뢰할 수 있는 액세스 활성화
신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 [신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한](orgs_integrate_services.md#orgs_trusted_access_perms) 단원을 참조하세요.
Organizations 관리 계정의 관리자만 다른 AWS 서비스에서 신뢰할 수 있는 액세스를 활성화할 수 있는 권한이 있습니다. CloudFormation 콘솔 또는 Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.
신뢰할 수 있는 액세스는 AWS CloudFormation StackSets로만 활성화할 수 있습니다.
Stacksets 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화하려면 AWS CloudFormation 사용 설명서의 CloudFormation [를 사용하여 신뢰할 수 있는 액세스 활성화 AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html)를 참조하세요.
## CloudFormation Stacksets에서 신뢰할 수 있는 액세스 비활성화
신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 [신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한](orgs_integrate_services.md#orgs_trusted_access_disable_perms) 단원을 참조하세요.
Organizations 관리 계정의 관리자만 다른 AWS 서비스에서 신뢰할 수 있는 액세스를 비활성화할 수 있는 권한이 있습니다. 신뢰할 수 있는 액세스는 Organizations 콘솔로만 비활성화할 수 있습니다. StackSets를 사용하는 동안 Organizations와 상호 신뢰할 수 있는 액세스를 비활성화하면 이전에 생성된 모든 스택 인스턴스는 유지됩니다. 그러나 서비스 연결 역할의 권한을 사용하여 배포된 스택 세트는 더 이상 조직에서 관리하는 계정에 대한 배포를 수행할 수 없습니다.
CloudFormation 콘솔 또는 Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.
**중요**
프로그래밍 방식으로(예: AWS CLI API를 사용하거나 API를 사용하여) 신뢰할 수 있는 액세스를 비활성화하면 권한이 제거된다는 점에 유의하세요. CloudFormation 콘솔을 사용하여 신뢰할 수 있는 액세스를 비활성화하는 것이 좋습니다.
AWS Organizations 콘솔을 사용하거나, Organizations AWS CLI 명령을 실행하거나, AWS SDKs.
------
#### [ AWS Management Console ]
**Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면**
1. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인([권장되지 않음](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))해야 합니다.
1. 탐색 창에서 **서비스**를 선택합니다.
1. 서비스 목록에서 **AWS CloudFormation StackSets**를 선택합니다.
1. **신뢰할 수 있는 액세스 비활성화**를 선택합니다.
1. ** AWS CloudFormation StackSets** 대화 상자에서 **비활성화**를 입력하여 확인한 다음 **신뢰할 수 있는 액세스 비활성화**를 선택합니다.
1. 의 관리자인 경우에만 이제 서비스 콘솔 또는 도구를 사용하여 해당 서비스 작업을 AWS Organizations 비활성화할 수 있음을 AWS CloudFormation StackSets 관리자에게 AWS Organizations알립니다.
------
#### [ AWS CLI, AWS API ]
**Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면**
다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화할 수 있습니다.
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
다음 명령을 실행하여 AWS CloudFormation StackSets를 비활성화합니다.
```
$ aws organizations disable-aws-service-access \
--service-principal stacksets.cloudformation.amazonaws.com
```
이 명령은 성공 시 출력을 생성하지 않습니다.
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## CloudFormation Stacksets에 대한 위임된 관리자 계정 활성화
멤버 계정을 조직의 위임된 관리자로 지정하면 해당 계정의 사용자 및 역할이 CloudFormation Stacksets에 대한 관리 작업을 수행할 수 있습니다. 그렇지 않은 경우 조직의 관리 계정에 속한 사용자 또는 역할만 관리 작업을 수행할 수 있습니다. 이렇게 하면 조직 관리와 CloudFormation Stacksets 관리를 분리할 수 있습니다.
조직에서 멤버 계정을 CloudFormation Stacksets의 위임된 관리자로 지정하는 방법에 관한 설명은 *AWS CloudFormation 사용 설명서*의 [위임된 관리자 등록](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)을 참조하세요.