AWS CloudFormation-Servicerolle
Eine Servicerolle ist eine AWS Identity and Access Management (IAM)-Rolle mit der AWS CloudFormation in Ihrem Namen Aufrufe an Ressourcen in einem Stack tätigen kann. Sie können eine IAM-Rolle festlegen, die AWS CloudFormation berechtigt, Stack-Ressourcen zu erstellen, zu aktualisieren oder zu löschen. AWS CloudFormation verwendet standardmäßig eine temporäre Sitzung, die es aus Ihren Benutzer-Anmeldeinformationen für Stack-Operationen erstellt. Wenn Sie eine Service-Rolle festlegen, verwendet AWS CloudFormation die Anmeldeinformationen der Rolle.
Verwenden Sie einen Service-Rolle, um die Aktionen genau festzulegen, die AWS CloudFormation ausführen kann und die eventuell nicht immer dieselben Aktionen sind, die Sie oder andere Benutzer durchführen können. Wenn Sie beispielsweise über Administratorberechtigungen verfügen, können Sie den AWS CloudFormation-Zugriff auf Amazon-EC2-Aktionen beschränken.
Sie erstellen die Service-Rolle und die Berechtigungsrichtlinie mit dem IAM-Service. Weitere Informationen zum Erstellen einer Servicerolle finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch. Legen Sie AWS CloudFormation (cloudformation.amazonaws.com) als den Dienst fest, der die Rolle annehmen kann.
Um eine Service-Rolle einem Stack zuzuordnen, legen Sie die Rolle beim Erstellen des Stack fest. Details hierzu finden Sie unter Festlegen von AWS CloudFormation-Stack-Optionen. Sie können die Servicerolle auch ändern, wenn Sie den Stack in der Konsole aktualisieren oder den Stack über die API löschen . Bevor Sie eine Service-Rolle festlegen, stellen Sie sicher, dass Sie über die Berechtigung zum Weiterleiten (iam:PassRole) verfügen. Die iam:PassRole-Berechtigung gibt an, welche Rollen Sie verwenden können.
Wenn Sie eine Service-Rolle festlegen, verwendet AWS CloudFormation für alle in diesem Stapel ausgeführten Vorgänge immer diese Rolle. Es ist nicht möglich, eine Service-Rolle zu entfernen, die einem Stack zugewiesen ist, nachdem der Stack erstellt wurde. Andere Benutzer, die Berechtigungen zum Ausführen von Vorgängen in diesem Stapel haben, können diese Rolle verwenden, selbst wenn Sie keine Berechtigung zum Weiterleiten haben. Wenn die Rolle Berechtigungen umfasst, die der Benutzer nicht haben sollte, können Sie die Berechtigungen eines Benutzers versehentlich weiterleiten. Stellen Sie sicher, dass die Rolle die geringsten Rechte zugesteht.
