AWS CloudFormationStackSets

CloudFormationStackSetsのコンセプトは多様で混同しやすいので整理します。

・サービス管理のアクセス許可で許可されたスタックセット
→IAMロール作成不要
→StackSetsがユーザに変わってIAMロールを作成します

・自己管理型アクセス許可を使用して作成されたスタックセット
→IAMロール作成必要
→自己管理型という名前からも分かるように、アカウントおよびリージョン間でデプロイするためにStackSetsに必要なIAMロールを作成します。

・ターゲットアカウントにスタックを作成する前に、管理者アカウントとターゲットアカウントの間に信頼関係を設定する必要があります
→管理者アカウントは、スタックセットを作成するAWSアカウントです。サービス管理権限を持つスタックセットの場合、管理者アカウントは組織の管理アカウントまたは委任された管理者アカウントのいずれかです。ターゲットアカウントは、スタックセット内の1つ以上のスタックを作成、更新、または削除するアカウントです。スタックセットを使用してターゲットアカウントにスタックを作成する前に、管理者アカウントとターゲットアカウントの間に信頼関係を設定する必要があります。

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-concepts.html