调用EnableAWSServiceAccess操作时:您指定了一个不可识别的服务主体

Question

C:\>aws organizations enable-aws-service-access --service-principal cloudformation.amazonaws.com

调用InvalidInputException操作时发生错误( EnableAWSServiceAccess )：您指定了一个无法识别的服务主体。

C:\>aws organizations enable-aws-service-access --service-principal "cloudformation.amazonaws.com"

调用InvalidInputException操作时发生错误( EnableAWSServiceAccess )：您指定了一个无法识别的服务主体。

C:\>aws organizations enable-aws-service-access --service-principal 'cloudformation.amazonaws.com'

调用InvalidInputException操作时发生了一个错误( EnableAWSServiceAccess )：您提供了一个不符合所需模式的值。

知道是怎么回事吗？

根据docs 这里

这通常是以URL的形式出现的，比如service-abbreviation.amazonaws.com。

我试过

"s3.amazonaws.com"
"ec2.amazonaws.com"
"elasticbeanstalk.amazonaws.com"
"autoscaling.amazonaws.com"

作为服务负责人。但都犯了同样的错误。

不过，它可以在控制台上工作。AWS控制台-> CloudFormation -> StackSets ->启用可信访问。

Answer 1

EnableAWSServiceAccess用于：

启用集成时，允许指定的服务在组织中的所有帐户中创建一个与服务链接的角色。这允许服务在组织及其帐户中代表您执行操作。

我认为，它失败的原因是CloudFormation确实支持服务链接角色。您可以在此表aws-services-that-work-with-iam.html中验证这一点。

而且，它在控制台中工作，因为您正在为StackSets启用它，而不是CloudFormation本身。CloudFormation不支持组织中列出的可信访问。只有AWS CloudFormation Stacksets支持它。

而且它只适用于通过控制台

可以使用AWS CloudFormation控制台或AWS组织控制台启用可信访问。

您不能使用CLI或SDK来完成这个任务。

Answer 2

您可以使用以下aws organizations enable-aws-service-access --service-principal member.org.stacksets.cloudformation.amazonaws.com