AWS CloudFormation 서비스 역할
서비스 역할은 CloudFormation에서 사용자를 대신하여 스택의 리소스를 호출하도록 허용하는 AWS Identity and Access Management(IAM) 역할입니다. CloudFormation에서 스택 리소스를 생성, 업데이트 또는 삭제하도록 허용하는 IAM 역할을 지정할 수 있습니다. 기본적으로 CloudFormation에서는 스택 작업에 대한 사용자 자격 증명으로부터 생성되는 임시 세션을 사용합니다. 서비스 역할을 지정한 경우 CloudFormation에서는 역할의 자격 증명을 사용합니다.
서비스 역할을 사용하여 CloudFormation에서 수행할 수 있는 작업을 명시적으로 지정합니다. 이 작업은 사용자 또는 다른 사용자가 수행할 수 있는 작업과 다를 수도 있습니다. 예를 들어, 관리 권한이 있지만 CloudFormation 액세스를 Amazon EC2 작업만으로 제한할 수 있습니다.
IAM 서비스를 사용하여 서비스 역할과 해당 권한 정책을 생성합니다. 서비스 역할 생성에 대한 자세한 내용은 IAM 사용 설명서의 AWS 서비스에 대한 권한을 위임할 역할 생성을 참조하세요. 역할을 위임할 수 있는 서비스로 CloudFormation(cloudformation.amazonaws.com
)을 지정합니다.
서비스 역할을 스택과 연결하려면 스택을 생성할 때 역할을 지정합니다. 세부 정보는 스택 옵션 구성을 참조하세요. 콘솔에서 스택을 업데이트할 때 서비스 역할을 변경하거나 API를 통해 스택 DeleteStack 작업을 수행할 수도 있습니다. 서비스 역할을 지정하기 전에 역할을 전달할 수 있는 권한이 있는지 확인합니다(iam:PassRole
). iam:PassRole
권한은 사용 가능한 역할을 지정합니다. 자세한 내용은 IAM 사용 설명서의 사용자에게 AWS 서비스에 역할을 전달할 권한 부여를 참조하세요.
중요
서비스 역할을 지정할 때 CloudFormation에서는 해당 스택에서 수행되는 모든 작업에 대해 항상 해당 역할을 사용합니다. 스택이 생성된 후에는 스택에 연결된 서비스 역할을 제거할 수 없습니다. 이 스택에서 작업을 수행할 수 있는 권한이 있는 다른 사용자는 iam:PassRole
권한의 보유 여부와 상관없이 이 역할을 사용할 수 있습니다. 역할에 사용자에게 불필요한 권한이 포함되어 있는 경우 사용자의 권한을 실수로 에스컬레이션할 수 있습니다. 이 역할은 최소한의 권한을 부여해야 합니다. 자세한 정보는 IAM 사용 설명서의 최소 권한 적용을 참조하십시오.