Использование AWS CloudFormation StackSets в учетных записях, управляемых AWS Landing Zone?
Как я могу использовать CloudFormation StackSets, если учетными записями AWS управляет Зона приземления AWS?
У меня есть следующая конфигурация аккаунта:
- Главный аккаунт организации AWS,
orgиз которого была запущена зона посадки - Счет развития,
dev - Два производственных счета,
Aа такжеB - Несколько других учетных записей, которые входят в Организационную зону приземления AWS и не связаны с моим проектом
Моя цель - настроить dev стать учетной записью администратора CloudFormation StackSets и A а также B учетные записи, которые будут целевыми учетными записями CloudFormation (т. е. CloudFormation, развернутые в StackSets в dev учетная запись распространяется на стеки в A а также B аккаунт соответственно). Согласно предварительным условиям StackSets, для этого требуется, чтобы каждая целевая учетная запись имела AWSCloudFormationStackSetExecutionRole, Однако, поскольку Landing Zone используется для создания учетной записи и управления, оба A а также B (и все остальные учетные записи, управляемые Лендинг-зоной) уже имеют AWSCloudFormationStackSetExecutionRole настроен с доверенными удостоверениями на пять различных ролей в org учетная запись. Одним из решений является добавление идентификатора учетной записи dev счет в AWSCloudFormationStackSetExecutionRole управляется зоной посадки. В качестве побочного эффекта, все учетные записи, управляемые в Приземляющейся зоне, будут открыты для изменения из dev счета, так что это не вариант.