Função de serviço do AWS CloudFormation - AWS CloudFormation

Função de serviço do AWS CloudFormation

Uma função de serviço é uma função do AWS Identity and Access Management (IAM) que permite que o AWS CloudFormation faça chamadas a recursos em uma pilha em seu nome. Você pode especificar uma função do IAM que permita que o AWS CloudFormation crie, atualize ou exclua seus recursos da pilha. Por padrão, o AWS CloudFormation usa uma sessão temporária que ele gera a partir de suas credenciais de usuário para operações de pilha. Se você especificar uma função de serviço, o AWS CloudFormation usará as credenciais da função.

Use uma função de serviço para especificar explicitamente as ações que o AWS CloudFormation pode realizar, que podem nem sempre ser sempre as mesmas ações que você ou outros usuários podem realizar. Por exemplo, você pode ter privilégios administrativos, mas pode limitar o acesso do AWS CloudFormation a apenas ações do Amazon EC2.

Você cria a função de serviço e a respectiva política de permissão com o serviço do IAM. Para obter mais informações sobre a criação de uma função de serviço, consulte Creating a role to delegate permissions to an AWS service (Criar uma função para delegar permissões a um serviço da AWS) no Guia do usuário do IAM. Especifique o AWS CloudFormation (cloudformation.amazonaws.com) como o serviço que pode assumir a função.

Para associar uma função de serviço a uma pilha, especifique a função ao criar a pilha. Para obter mais detalhes, consulte Configurar opções de pilha do AWS CloudFormation. Você também pode alterar a função de serviço ao atualizar a pilha no console ou excluir a pilha por meio da API. Antes de especificar uma função de serviço, certifique-se de ter permissão para aprová-la (iam:PassRole). A permissão iam:PassRole especifica quais funções você pode usar.

Importante

Quando você especifica uma função de serviço, o AWS CloudFormation sempre usa essa função para todas as operações que serão executadas nessa pilha. Não é possível remover uma função de serviço associada a uma pilha depois que ela é criada. Outros usuários com permissão para executar operações nessa pilha poderão usar essa função, mesmo que não tenham permissão para aprová-la. Se a função inclui permissões que o usuário não precisa, você pode ampliar involuntariamente as permissões de um usuário. Certifique-se de que a função concede o menor privilégio.