Могу ли я использовать CloudFormation StackSets для развертывания в нескольких регионах под своей учетной записью?

Question

У меня есть простой стек CloudFormation, который я хочу развернуть во всех регионах моей учетной записи, поэтому мне не нужно вручную переходить в каждый регион для развертывания стека или создавать сценарий, который делает это с помощью CLI.

Я попытался сделать это с помощью StackSets: я указал, что учетная запись, которую я хочу развернуть, является моей собственной учетной записью.Затем я выбрал все регионы и попытался развернуть.

К сожалению, это не сработало, сказав:

Учетная запись 1234567867867 должна иметь роль «AWSCloudFormationStackSetExecutionRole» с доверительными отношениями к роли.'AWSCloudFormationStackSetAdministrationRole'.

Итак, я посмотрел на это и наткнулся на этот учебник о том, как решить эту проблему:

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs.html

Однако, проходя черезэтот процесс не позволил бы мне сделать второй шаг, где я создаю роль, которая доверяет учетной записи администратора ... Я предполагаю, что это потому, что учетная запись администратора является моей учетной записью, поэтому настройка доверительных отношений неработать, но я не совсем уверен.Вот ошибка, которую я получаю:

AWSCloudFormationStackSetExecutionRole уже существует

Так возможно ли это?Или мне просто создать сценарий, который использует CLI для развертывания обычного стека CloudFormation во всех регионах моей учетной записи?

Answer 1

Ответ - да, вы можете использовать StackSets для развертывания в нескольких регионах в рамках ВАШЕГО ЕДИНСТВЕННОГО УЧЕТА.

Вам по-прежнему необходимо создать главные / дочерние роли, как описано в статье, на которую я ссылался в моем исходном вопросе.,В этом особом случае вы в основном говорите, что доверяете себе, чтобы использовать свою собственную роль.Но как только вы это сделаете, вы сможете настроить StackSet, указать свой номер учетной записи в качестве учетной записи, в которую вы хотите развернуть StackSet, и выбрать все регионы, которые вы хотите.

Причина, по которой яРанее возникала проблема: очевидно, кто-то уже добавил дочернюю роль в мою учетную запись, поэтому, когда я попытался создать ее самостоятельно, она уже была там (что вызвало ошибку).Вы, вероятно, не столкнетесь с этим, предполагая, что никто не связывался с вашей учетной записью.Но если вы обнаружите, что столкнулись с этим (может быть, вы работаете в компании с множеством людей, работающих с теми же наборами учетных записей, что и я), тогда все, что вам нужно сделать, - это найти роль AWSCloudFormationStackSetExecutionRole в IAM, отредактировать траст.Отношения и добавьте еще одно доверительное отношение к доверию:

arn:aws:iam::<your account number>:role/AWSCloudFormationStackSetAdministrationRole