当涉及的AWS账户由AWS Landing Zone管理时,如何使用CloudFormation StackSet?
我具有以下帐户配置:
org dev A和B 我的目标是将dev帐户配置为CloudFormation StackSets管理员帐户,并将A和B帐户配置为CloudFormation目标帐户(即,{ {1}}帐户分别传播到dev和A帐户的堆栈中)。根据{{3}},这要求每个目标帐户都拥有一个B。但是,由于着陆区用于帐户生成和管理,因此AWSCloudFormationStackSetExecutionRole和A(以及由着陆区管理的所有其他帐户)都已经配置了B的可信任身份,以用于AWSCloudFormationStackSetExecutionRole帐户中有五个不同的角色。一种解决方案是将org帐户的帐户ID添加到着陆区管理的dev中。副作用是,由着陆区管理的所有帐户将可以从AWSCloudFormationStackSetExecutionRole帐户进行修改,因此不可以。