CloudFormationRuolo del servizio

Un ruolo di servizio è un ruolo AWS Identity and Access Management (IAM) che consente a CloudFormation di effettuare chiamate alle risorse di uno stack per tuo conto. Puoi specificare un ruolo IAM che consente a CloudFormation di creare, aggiornare o eliminare le risorse dello stack. Per impostazione predefinita, CloudFormation utilizza una sessione temporanea che viene generata dalle credenziali utente per le operazioni di stack. Se specifichi un ruolo di servizio, CloudFormation utilizza le credenziali del ruolo.

Usa un ruolo di servizio per specificare in modo esplicito le operazioni che CloudFormation può eseguire che potrebbero non essere sempre le stesse che tu o altri utenti possono effettuare. Ad esempio, potresti disporre dei privilegi amministrativi, ma puoi limitare l’accesso di CloudFormation solo alle operazioni di Amazon EC2.

Puoi creare il ruolo del servizio e le sue policy di autorizzazione con il servizio IAM. Per ulteriori informazioni sulla creazione di un ruolo di servizio, consulta Create a role to delegate permissions to an AWS service nella Guida per l’utente di IAM. Specifica CloudFormation (cloudformation.amazonaws.com) come servizio che può assumere il ruolo.

Per associare un ruolo del servizio con uno stack, specifica il ruolo al momento della creazione dello stack. Per informazioni dettagliate, vedi Configurazione delle opzioni dello stack. Puoi anche modificare il ruolo di servizio quando aggiorni lo stack nella console o elimini lo stack tramite DeleteStack nell’API. Prima di specificare un ruolo del servizio, assicurati di disporre dell'autorizzazione per passarlo (iam:PassRole). L'autorizzazione iam:PassRole specifica quali ruolo puoi utilizzare. Per ulteriori informazioni, consulta Grant a user permissions to pass a role to an AWS service nella Guida per l’utente di IAM.

Importante

Quando specifichi un ruolo di servizio, CloudFormation utilizza sempre quel ruolo per tutte le operazioni eseguite su quello stack. Non è possibile rimuovere un ruolo di servizio collegato a uno stack dopo la creazione dello stack. Altri utenti che dispongono delle autorizzazioni per eseguire operazioni su questo stack potranno usare questo ruolo, indipendentemente dal fatto che dispongano o meno dell’autorizzazione iam:PassRole. Se il ruolo include le autorizzazioni di cui l'utente non dovrebbe disporre, puoi riassegnare involontariamente le autorizzazioni di un utente. Assicurati che il ruolo garantisca i privilegi minimi. Per ulteriori informazioni, consulta Applicazione delle autorizzazioni del privilegio minimo nella Guida per l'utente di IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi di policy basate sull’identità

Prevenzione del problema "confused deputy" tra servizi