Função de serviço do AWS CloudFormation - AWS CloudFormation

Função de serviço do AWS CloudFormation

Um perfil de serviço é um perfil do AWS Identity and Access Management (IAM) que permite que o AWS CloudFormation faça chamadas a recursos em uma pilha em seu nome. Você pode especificar um perfil do IAM que permita ao AWS CloudFormation criar, atualizar ou excluir seus recursos da pilha. Por padrão, o AWS CloudFormation usa uma sessão temporária que ele gera a partir de suas credenciais de usuário para operações de pilha. Se você especificar uma função de serviço, o AWS CloudFormation usará as credenciais da função.

Use uma função de serviço para especificar explicitamente as ações que o AWS CloudFormation pode realizar, que podem nem sempre ser sempre as mesmas ações que você ou outros usuários podem realizar. Por exemplo, você pode ter privilégios administrativos, mas pode limitar o acesso do AWS CloudFormation a apenas ações do Amazon EC2.

Você cria o perfil de serviço e a respectiva política de permissão com o serviço do IAM. Para obter mais informações sobre a criação de um perfil de serviço, consulte Criar uma função para delegar permissões a um serviço da AWS, no Guia do usuário do IAM. Especifique o AWS CloudFormation (cloudformation.amazonaws.com) como o serviço que pode assumir a função.

Para associar uma função de serviço a uma pilha, especifique a função ao criar a pilha. Para obter detalhes, consulte Configurar opções de pilha do AWS CloudFormation. Você também pode alterar o perfil de serviço ao atualizar a pilha no console ou DeleteStack a pilha via API. Antes de especificar uma função de serviço, certifique-se de ter permissão para aprová-la (iam:PassRole). A permissão iam:PassRole especifica quais perfis você pode usar.

Importante

Quando você especifica um perfil de serviço, o AWS CloudFormation sempre usa esse perfil para todas as operações que serão executadas nessa pilha. Não é possível remover uma função de serviço associada a uma pilha depois que ela é criada. Outros usuários com permissão para executar operações nessa pilha podem usar esse perfil, independentemente de terem a permissão iam:PassRole ou não. Se o perfil inclui permissões que o usuário não precisa, você pode ampliar involuntariamente as permissões de um usuário. Certifique-se de que a função concede o menor privilégio.