AWS CloudFormation サービスロール - AWS CloudFormation

AWS CloudFormation サービスロール

サービスロールは AWS CloudFormation にユーザーに代わってスタック内のリソースを呼び出すアクセス権限を許可する AWS Identity and Access Management (IAM) ロールです。AWS CloudFormation にスタックリソースの作成、更新、または削除を許可する IAM ロールを指定できます。デフォルトでは、AWS CloudFormation はユーザー認証情報からスタック操作に対して作成される一時的セッションを使用します。サービスロールを指定する場合、AWS CloudFormation はロールの認証情報を使用します。

サービスロールを使用して、AWS CloudFormation が実行できるアクションを明示的に指定します。それはユーザー自身か他のユーザーが実行するアクションと同じではない場合があります。例えば、管理者権限がある場合でも、制限できるのは AWS CloudFormation の Amazon EC2 アクションへのアクセスのみです。

IAM サービスで、サービスロールと権限ポリシーを作成します。ロールの作成について詳しくは、IAM ユーザーガイドの「AWS のサービスに権限を委任するロールの作成」を参照してください。ロールを引き受けることのできるサービスとして AWS CloudFormation (cloudformation.amazonaws.com) を指定します。

サービスロールをスタックと関連付けるには、スタックを作成するときにロールを指定します。詳細については、「AWS CloudFormation スタックオプションの設定」を参照してください。コンソールでスタックを更新するときに、サービスロールを変更するか、API を使用して DeleteStack を実行することもできます。サービスロールを指定する前に、サービスロールを割り当てるアクセス権限 (iam:PassRole) があるかどうかを確認します。iam:PassRole アクセス権限は、どのロールを使用できるかを指定します。

重要

サービスロールを指定すると、AWS CloudFormation はスタックで実行されるすべてのオペレーションにそのロールを必ず使用します。スタックの作成後に、スタックにアタッチされたサービスロールを削除することはできません。このスタックで操作を実行する権限を持つ他のユーザーは、iam:PassRole 権限の有無にかかわらず、このロールを使用できます。ユーザーが持つべきではないアクセス権限がロールに含まれる場合、ユーザーのアクセス権限を非意図的にエスカレーションできてしまいます。ロールが最小特権を付与することを確認します。