Как я могу использовать CloudFormation StackSets, если учетными записями AWS управляет зона приземления AWS?
У меня есть следующая конфигурация учетной записи:
- Основная учетная запись организации AWS,
org, с которого была запущена зона приземления - Учетная запись для разработки,
dev - Два производственных счета,
A и B - Несколько других учетных записей, которыеявляются частью AWS Organization / Landing Zone, которые не связаны с моим проектом
Моя цель - настроить учетную запись dev, чтобы она стала учетной записью администратора CloudFormation StackSets и A и B учетные записи должны быть целевыми учетными записями CloudFormation (т. е. CloudFormation, развернутые в StackSets в учетной записи dev, распространяются на стеки в учетной записи A и B соответственно).Согласно предварительным условиям StackSets , для этого требуется, чтобы у каждой целевой учетной записи было AWSCloudFormationStackSetExecutionRole.Однако, поскольку Landing Zone используется для генерации и управления учетными записями, A и B (и все другие учетные записи, управляемые Landing Zone) уже имеют AWSCloudFormationStackSetExecutionRole, настроенный с доверенными удостоверениями на пять различных ролей в org аккаунт.Одним из решений является добавление идентификатора учетной записи dev к AWSCloudFormationStackSetExecutionRole, управляемому целевой зоной.Как побочный эффект, все учетные записи, управляемые Лендинг-зоной, будут открыты для модификации из dev учетных записей, так что это не вариант.