メニュー
AWS CloudFormation
ユーザーガイド (API Version 2010-05-15)

AWS CloudFormation サービスロール

サービスロールは AWS CloudFormation にユーザーに代わってスタック内のリソースを呼び出すアクセス権限を許可する AWS Identity and Access Management (IAM) ロールです。AWS CloudFormation にスタックリソースの作成、更新、または削除を許可する IAM ロールを指定できます。デフォルトでは、AWS CloudFormation はユーザー認証情報からスタック操作に対して作成される一時的セッションを使用します。サービスロールを指定する場合、AWS CloudFormation はロールの認証情報を使用します。

サービスロールを使用して、AWS CloudFormation が実行できるアクションを明示的に指定します。それはユーザー自身か他のユーザーが実行するアクションと同じではない場合があります。たとえば、管理者権限がある場合でも、制限できるのは AWS CloudFormation の Amazon EC2 アクションへのアクセスのみです。

IAM サービスを使用して、サービスロールと権限ポリシーを作成します。サービスロールの作成の詳細については、IAM ユーザーガイド の「AWS サービスにアクセス権限を委任するロールの作成」を参照してください。ロールを引き受けることのできるサービスとして AWS CloudFormation (cloudformation.amazonaws.com) を指定します。

サービスロールをスタックと関連付けるには、スタックを作成するときにロールを指定します。詳細については、「スタックオプションの設定」を参照してください。スタックを更新または削除するときに、サービスロールを変更することもできます。サービスロールを指定する前に、サービスロールを割り当てるアクセス権限 (iam:PassRole) があるかどうかを確認します。iam:PassRole アクセス権限は、どのロールを使用できるかを指定します。

重要

サービスロールを指定すると、AWS CloudFormation はスタックで実行されるすべてのオペレーションにそのロールを必ず使用します。このスタックでオペレーションを実行するアクセス権限を持つ他のユーザーは、割り当てるアクセス権限がない場合でも、このロールを使用できます。ユーザーが持つべきではないアクセス権限がロールに含まれる場合、ユーザーのアクセス権限を非意図的にエスカレーションできます。ロールが最小特権を付与することを確認します。