CloudFormation StackSetsでOrganizations組織のアカウントに一気にIAMロールを作成した

Tweet

Organizationsで管理している各アカウントにIAMロールを作成したい場合に、1つ1つ手作業で作成することも、1アカウントごとにCloudFormation Stackを作成することも非効率です。
ということで、CloudFormation StackSetsで一気に作成しました。
Organizationsでのサービスへのアクセスは有効にしています。

テンプレート

こちらのテンプレートです。

StackSetsの作成

[StackSetsの作成]ボタンを押下しました。

テンプレートはローカルからアップデートしました。

StackSets名を指定しました。

Organizations組織のアカウントに作成したいので、サービスマネージドアクセス許可を選択しました。

デプロイターゲットは[組織へのデプロイ]を選択しました。
リージョンはIAMロールなので一応バージニア北部を選択しました。

オプションはデフォルトで実行しました。
(耐障害性を0にしていたので、このあとSCPによって拒否されたアカウントが原因でそれ以降のアカウントでは作成がキャンセルされました。)

作成開始しました。
1つのアカウントだけ成功して、次のアカウントでSCPが原因で失敗したので他のアカウントは作成がキャンセルされました。

StackSetsの更新、再実行

SCPを修正して再実行しました。

再実行は、[StackSetsの詳細を編集]を選択しました。

OUを指定できます。

アカウントを指定する場合はこちらから。

再実行が完了して各アカウントにIAMロールが作成されました。

StackSetsの削除

ひとまず作成できることは確認できたので、削除しました。

いきなりStackSetsの削除はできないので、[StackSetsからスタックを削除]を選択しました。

OUが指定できるのですが、全部削除したかったので、組織のIDを入力してみました。

削除実行できました。。

スタックインスタンスが全部削除されました。

そしてStackSetsを削除しました。

最後までお読みいただきましてありがとうございました！

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター3年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。