AWS CloudFormation -Servicerolle - AWS CloudFormation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS CloudFormation -Servicerolle

Eine Servicerolle ist eine AWS Identity and Access Management (IAM)-Rolle, die es ermöglicht AWS CloudFormation , in Ihrem Namen Aufrufe an Ressourcen in einem Stack zu tätigen. Sie können eine IAM-Rolle angeben, mit der Ihre AWS CloudFormation Stack-Ressourcen erstellen, aktualisieren oder löschen kann. Standardmäßig AWS CloudFormation verwendet eine temporäre Sitzung, die es aus Ihren Benutzeranmeldeinformationen für Stack-Operationen generiert. Wenn Sie eine Service-Rolle festlegen, verwendet AWS CloudFormation die Anmeldeinformationen der Rolle.

Verwenden Sie eine Servicerolle, um explizit die Aktionen anzugeben, die ausführen AWS CloudFormation kann. Dabei handelt es sich möglicherweise nicht immer um dieselben Aktionen, die Sie oder andere Benutzer ausführen können. Sie verfügen beispielsweise möglicherweise über Administratorrechte, können aber den AWS CloudFormation Zugriff nur auf Amazon EC2Aktionen beschränken.

Sie erstellen die Service-Rolle und die Berechtigungsrichtlinie mit dem IAM-Service. Weitere Informationen zum Erstellen einer Servicerolle finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen - AWS Service im IAM-Benutzerhandbuch. Legen Sie AWS CloudFormation (cloudformation.amazonaws.com) als den Dienst fest, der die Rolle annehmen kann.

Um eine Service-Rolle einem Stack zuzuordnen, legen Sie die Rolle beim Erstellen des Stack fest. Details hierzu finden Sie unter Festlegen von AWS CloudFormation-Stack-Optionen. Sie können die Servicerolle auch ändern, wenn Sie den Stack in der -Konsole oder DeleteStack den Stack über die API aktualisieren. Bevor Sie eine Service-Rolle festlegen, stellen Sie sicher, dass Sie über die Berechtigung zum Weiterleiten (iam:PassRole) verfügen. Die iam:PassRole-Berechtigung gibt an, welche Rollen Sie verwenden können.

Wichtig

Wenn Sie eine Servicerolle angeben, verwendet diese Rolle AWS CloudFormation immer für alle Vorgänge, die auf diesem Stack ausgeführt werden. Es ist nicht möglich, eine Service-Rolle zu entfernen, die einem Stack zugewiesen ist, nachdem der Stack erstellt wurde. Andere Benutzer, die über Berechtigungen zum Ausführen von Vorgängen an diesem Stack verfügen, können diese Rolle verwenden, unabhängig davon, ob diese Benutzer über die -iam:PassRoleBerechtigung verfügen oder nicht. Wenn die Rolle Berechtigungen umfasst, die der Benutzer nicht haben sollte, können Sie die Berechtigungen eines Benutzers versehentlich weiterleiten. Stellen Sie sicher, dass die Rolle die geringsten Rechte zugesteht.