Rol de servicio AWS CloudFormation - AWS CloudFormation

Rol de servicio AWS CloudFormation

Un rol de servicio es un rol de AWS Identity and Access Management (IAM) que permite a AWS CloudFormation hacer solicitudes a recursos de una pila en su nombre. Puede especificar un rol de IAM que permita a AWS CloudFormation crear, actualizar o eliminar los recursos de su pila. De forma predeterminada, AWS CloudFormation utiliza una sesión temporal que se genera a partir de sus credenciales de usuario para las operaciones de pila. Si especifica un rol de servicio, AWS CloudFormation utiliza las credenciales de ese rol.

Utilice un rol de servicio para especificar explícitamente las acciones que AWS CloudFormation puede realizar, que es posible que no siempre sean las mismas que realiza usted u otros usuarios. Por ejemplo, puede tener privilegios administrativos, pero puede limitar el acceso a AWS CloudFormation solo para acciones de Amazon EC2.

Puede crear el rol de servicio y su política de permisos con el servicio de IAM. Para obtener más información acerca de cómo crear un rol de servicio, consulte Creación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM. Especifique AWS CloudFormation (cloudformation.amazonaws.com) como el servicio que puede asumir el rol.

Para asociar un rol de servicio a una pila, especifique el rol al crear la pila. Para obtener más información, consulte Configuración de las opciones de pila de AWS CloudFormation. También puede cambiar el rol de servicio al actualizar la pila en la consola o DeleteStack la pila a través de la API. Antes de especificar un rol de servicio, asegúrese de que tiene permiso para pasarlo (iam:PassRole). El permiso iam:PassRole especifica los roles que puede utilizar.

importante

Cuando especifica un rol de servicio, AWS CloudFormation siempre lo utiliza para todas las operaciones que se realizan en esa pila. No es posible eliminar un rol de servicio asociado a una pila después de crear la pila. Otros usuarios que tengan permisos para realizar operaciones en esta pila podrán usar este rol, sin importar si esos usuarios tienen o no el permiso iam:PassRole. Si el rol incluye permisos que el usuario no debería tener, puede escalar involuntariamente los permisos de un usuario. Asegúrese de que el rol concede privilegios mínimos.