本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS CloudFormation StackSets 和 AWS Organizations
<a name="services-that-can-integrate-cloudformation"></a>

CloudFormation StackSets 可讓您透過 AWS 區域 單一操作跨多個 AWS 帳戶 和 建立、更新或刪除堆疊。StackSets 與 AWS Organizations 整合，可讓您使用每個成員帳戶中具有相關許可的服務連結角色，建立具有服務管理許可的堆疊集。這可讓您將堆疊執行個體部署至組織中的成員帳戶。您不需要建立必要的 AWS Identity and Access Management 角色；StackSets 會代表您在每個成員帳戶中建立 IAM 角色。

您可以選擇自動部署到未來新增至組織的帳戶。啟用自動部署後，關聯堆疊集執行個體的角色和部署會自動新增至未來在該 OU 中新增的所有帳戶。

啟用 StackSets 和 Organizations 之間的受信任存取後，管理帳戶會擁有為您的組織建立和管理堆疊集的許可。管理帳戶最多可將五個成員帳戶註冊為委派管理員。啟用受信任存取之後，委派管理員也會擁有為您的組織建立和管理堆疊集的許可。具有服務管理許可的堆疊集是在管理帳戶中建立的，包括由委派管理員建立的堆疊集。

**重要**  
委派管理員具有部署至組織中帳戶的完整許可。管理帳戶無法限制部署至特定 OU 或執行特定堆疊集操作的委派管理員許可。

 如需將 StackSets 與 Organizations 整合的詳細資訊，請參閱*AWS CloudFormation 《 使用者指南*》中的[使用 AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)。

使用以下資訊來協助您整合 AWS CloudFormation StackSets 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-cloudformation"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色可讓 CloudFormation Stacksets 在您組織中的組織帳戶中執行支援的操作。

只有在您停用 CloudFormation Stacksets 和 Organizations 之間的受信任存取，或者從組織中刪除成員帳戶時，才能移除或修改此角色。
+ 管理帳戶︰`AWSServiceRoleForCloudFormationStackSetsOrgAdmin`

若要為您組織中的成員帳戶建立服務連結角色 `AWSServiceRoleForCloudFormationStackSetsOrgMember`，您需要先在管理帳戶中建立堆疊集。此將建立一個堆疊集執行個體，然後在成員帳戶中建立角色。
+ 成員帳戶︰`AWSServiceRoleForCloudFormationStackSetsOrgMember`

如需建立堆疊集的詳細資訊，請參閱*《AWS CloudFormation 使用者指南》*中的[使用 AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-cloudformation"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Stacksets CloudFormation 使用的服務連結角色會將存取權授予下列服務主體：
+ 管理帳戶︰`stacksets.cloudformation.amazonaws.com`

  只有在您停用 StackSets 和 Organizations 之間的受信任存取時，才能修改或刪除此角色。
+ 成員帳戶︰`member.org.stacksets.cloudformation.amazonaws.com`

  只有在您首先停用 StackSets 和 Organizations 之間的受信任存取，或者首先從目標組織或組織單位 (OU) 中移除帳戶時，才能從帳戶中修改或刪除此角色。

## 使用 Stacksets CloudFormation 啟用受信任存取
<a name="integrate-enable-ta-cloudformation"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

只有 Organizations 管理帳戶中的管理員具有使用其他服務啟用受信任存取的許可 AWS 。您可以使用 CloudFormation 主控台或 Organizations 主控台來啟用信任存取。

您只能使用 AWS CloudFormation StackSets 啟用受信任存取。

若要使用 CloudFormation Stacksets 主控台啟用受信任存取，請參閱 AWS CloudFormation 《 使用者指南》中的[使用 啟用受信任存取 AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html)。

## 使用 CloudFormation Stacksets 停用受信任存取
<a name="integrate-disable-ta-cloudformation"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 Organizations 管理帳戶中的管理員具有使用其他服務停用受信任存取的許可 AWS 。您只能使用 Organizations 主控台來停用受信任的存取。如果您在使用 StackSets 時停用 Organizations 的受信任存取，則會保留所有先前建立的堆疊執行個體。不過，使用服務連結角色許可部署的堆疊集，無法再對 Organizations 管理的帳戶執行部署。

您可以使用 CloudFormation 主控台或 Organizations 主控台來停用受信任存取。

**重要**  
如果您以程式設計方式停用受信任存取 （例如使用 AWS CLI 或使用 API)，請注意，這會移除 許可。最好使用 CloudFormation 主控台停用受信任存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇 **AWS CloudFormation StackSets**。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取 for AWS CloudFormation StackSets** 對話方塊中，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 AWS CloudFormation StackSets 的管理員，他們現在可以使用服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 AWS CloudFormation StackSets 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal stacksets.cloudformation.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Stacksets CloudFormation 的委派管理員帳戶
<a name="integrate-enable-da-cloudformation"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 CloudFormation Stacksets 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Stacksets CloudFormation 的管理分開。

如需如何將成員帳戶指定為組織中 CloudFormation Stacksets 的堆疊集，請參閱*AWS CloudFormation 使用者指南*中的[註冊委派管理員](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。