# 使用 CloudFormation StackSets
<a name="working-with-stacksets"></a>

有关如何使用服务管理权限创建堆栈集的具体说明，请参阅 *AWS CloudFormation 用户指南*中的[使用服务管理权限创建 CloudFormation 堆栈集](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-associate-stackset-with-org.html)。

AWS 安全事件响应提供了两个 CloudFormation 模板。这两个模板创建两个相同的 AWS Identity and Access Management 角色：`AWSSecurityIncidentResponseContainment` 和 `AWSSecurityIncidentResponseContainmentExecution`。**带有 EC2 Triage 的遏制**模板向 `AWSSecurityIncidentResponseContainment` 添加 `AWSSecurityIncidentResponseInvestigationPolicy`，其授予 EC2 Triage 的额外权限。选择符合您的安全要求的模板：
+ [仅遏制](containment-only-template.md)：创建遏制操作所需的最低权限。
+ [带有 EC2 Triage 的遏制](containment-with-ec2-triage-template.md)：包括所有遏制权限以及 EC2 Triage 的额外权限。此模板允许AWS 安全事件响应在安全调查期间对 Amazon Elastic Compute Cloud 实例执行 AWS Systems Manager Run Command。

有关 EC2 Triage 的更多信息，请参阅 [检测与分析](detect-and-analyze.md)。