AWS CloudFormation rôle de service

Un rôle de service est un rôle AWS Identity and Access Management (IAM) qui permet AWS CloudFormation d'appeler les ressources d'une pile en votre nom. Vous pouvez spécifier un rôle IAM qui permet de créer, AWS CloudFormation de mettre à jour ou de supprimer les ressources de votre stack. Par défaut, AWS CloudFormation utilise une session temporaire générée à partir de vos informations d'identification utilisateur pour les opérations de stack. Si vous spécifiez un rôle de service, AWS CloudFormation utilise les informations d'identification du rôle.

Utilisez un rôle de service pour spécifier explicitement les actions qui AWS CloudFormation peuvent être effectuées, qui ne sont pas toujours les mêmes que celles que vous ou les autres utilisateurs pouvez effectuer. Par exemple, vous pouvez disposer de privilèges administratifs, mais vous pouvez limiter AWS CloudFormation l'accès aux seules actions Amazon EC2.

Le rôle de service et sa politique d'autorisation sont créés à partir du service IAM. Pour plus d'informations sur la création d'un rôle de service, consultez la section Création d'un rôle pour déléguer des autorisations à un AWS service dans le Guide de l'utilisateur IAM. Spécifiez AWS CloudFormation (cloudformation.amazonaws.com) en tant que service habilité à assumer le rôle.

Pour associer un rôle de service à une pile, spécifiez le rôle au moment où vous créez la pile. Pour plus de détails, consultez Définition des options des piles AWS CloudFormation. Vous pouvez également modifier le rôle du service lorsque vous mettez à jour la pile dans la console ou DeleteStackla pile via l'API. Avant de spécifier un rôle de service, vérifiez que vous êtes autorisé à le transmettre (iam:PassRole). L'autorisation iam:PassRole indique les rôles que vous pouvez utiliser.

Important

Lorsque vous spécifiez un rôle de service, utilisez AWS CloudFormation toujours ce rôle pour toutes les opérations effectuées sur cette pile. Un rôle de service attaché à une pile ne peut pas être supprimé après la création de la pile. Les autres utilisateurs autorisés à effectuer des opérations sur cette pile peuvent utiliser ce rôle, qu'ils soient iam:PassRole autorisés ou non. Si le rôle comprend des autorisations que l'utilisateur ne devrait pas avoir, vous avez peut-être remonté accidentellement ses autorisations. Vérifiez que le rôle accorde le privilège le plus faible.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Contrôle de l’accès avec IAM

Journalisation des appels d'API