AWS CloudFormation 서비스 역할

서비스 역할은 AWS CloudFormation이 사용자를 대신하여 스택의 리소스를 호출하도록 허용하는 AWS Identity and Access Management(IAM) 역할입니다. AWS CloudFormation에서 스택 리소스를 생성, 업데이트 또는 삭제하도록 허용하는 IAM 역할을 지정할 수 있습니다. 기본적으로 AWS CloudFormation에서는 스택 작업에 대한 사용자 자격 증명으로부터 생성되는 임시 세션을 사용합니다. 서비스 역할을 지정한 경우 AWS CloudFormation에서는 역할의 자격 증명을 사용합니다.

서비스 역할을 사용하여 AWS CloudFormation에서 수행할 수 있는 작업을 명시적으로 지정합니다. 이 작업은 사용자 또는 다른 사용자가 수행할 수 있는 작업과 다를 수도 있습니다. 예를 들어, 관리 권한이 있지만 AWS CloudFormation 액세스를 Amazon EC2작업만으로 제한할 수 있습니다.

IAM 서비스를 사용하여 서비스 역할과 해당 권한 정책을 생성합니다. 서비스 역할 생성에 대한 자세한 내용을 알아보려면 IAM 사용 설명서의 AWS 서비스에 대한 권한을 위임할 역할 생성을 참조하세요. 역할을 위임할 수 있는 서비스로 AWS CloudFormation(cloudformation.amazonaws.com)을 지정합니다.

서비스 역할을 스택과 연결하려면 스택을 생성할 때 역할을 지정합니다. 세부 정보는 AWS CloudFormation 스택 옵션 설정을 참조하세요. 콘솔에서 스택을 업데이트할 때 서비스 역할을 변경하거나 API를 통해 스택 DeleteStack 작업을 수행할 수도 있습니다. 서비스 역할을 지정하기 전에 역할을 전달할 권한(iam:PassRole)이 있는지 확인합니다. iam:PassRole 권한은 사용 가능한 역할을 지정합니다.

중요

서비스 역할을 지정할 때 AWS CloudFormation에서는 해당 스택에서 수행되는 모든 작업에 대해 항상 해당 역할을 사용합니다. 스택이 생성된 후에는 스택에 연결된 서비스 역할을 제거할 수 없습니다. 이 스택에서 작업을 수행할 수 있는 권한이 있는 다른 사용자는 iam:PassRole 권한의 보유 여부와 상관없이 이 역할을 사용할 수 있습니다. 역할에 사용자에게 불필요한 권한이 포함되어 있는 경우 사용자의 권한을 실수로 에스컬레이션할 수 있습니다. 이 역할은 최소한의 권한을 부여해야 합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

IAM을 통한 액세스 제어

API 호출 로깅