Controlar o acesso com o AWS Identity and Access Management - AWS CloudFormation

Controlar o acesso com o AWS Identity and Access Management

Com o AWS Identity and Access Management (IAM), você pode criar usuários do IAM para controlar quem tem acesso a quais recursos na sua Conta da AWS. É possível usar o IAM com o AWS CloudFormation para controlar o que os usuários podem fazer com o CloudFormation, por exemplo, se eles podem visualizar modelos de pilhas, criar pilhas ou excluir pilhas.

Além das ações do CloudFormation, é possível gerenciar quais serviços e recursos da AWS estão disponíveis para cada usuário. Assim, você pode controlar quais recursos os usuários podem acessar ao usar o CloudFormation. Por exemplo, você pode especificar quais usuários podem criar instâncias Amazon EC2, encerrar instâncias de banco de dados ou atualizar VPCs. As mesmas permissões são aplicadas sempre que eles usam o CloudFormation para executar essas ações.

Para obter mais informações sobre todos os serviços aos quais o acesso pode ser controlado, consulte Serviços da AWS que oferecem suporte ao IAM, no Guia do usuário do IAM.

Ações do CloudFormation

Quando você cria um grupo ou um usuário na sua Conta da AWS, pode associar uma política do IAM a esse grupo ou usuário, que especifica as permissões que você deseja conceder. Por exemplo, imagine que você tem um grupo de desenvolvedores em nível de entrada. Você pode criar um grupo de Junior application developers que inclua todos os desenvolvedores em nível de entrada. Em seguida, você associa uma política a esse grupo que permite que os usuários apenas visualizem as pilhas do CloudFormation. Nesse cenário, você pode ter uma política, como a do exemplo a seguir:

exemplo Uma política de exemplo que concede permissões para visualização de pilha
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources" ], "Resource":"*" }] }

A política concede permissões a todas as ações da API DescribeStack listadas no elemento Action.

Importante

Se não especificar um nome ou um ID de pilha em sua instrução, você também deverá conceder permissão para usar todos os recursos para a ação usando o caractere curinga * para o elemento Resource.

Além das ações do CloudFormation, os usuários que criam ou excluem pilhas exigem permissões adicionais que dependem dos modelos de pilhas. Por exemplo, se você tiver um modelo que descreve uma fila do Amazon SQS, o usuário deverá ter permissões correspondentes às ações do Amazon SQS para criar a pilha com êxito, conforme mostrado na seguinte política de exemplo:

exemplo Uma política de exemplo que concede ações de criação e visualização de pilhas e todas as ações do Amazon SQS
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "sqs:*", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate" ], "Resource":"*" }] }

Para obter uma lista de todas as ações do CloudFormation que você pode permitir ou negar, consulte a Referência da API do AWS CloudFormation.

Ações específicas do console do CloudFormation

Os usuários que usam o console do CloudFormation exigem permissões adicionais que não são necessárias para usar as APIs da AWS Command Line Interface ou do CloudFormation. Em comparação com a AWS CLI e a API, o console fornece recursos adicionais que exigem permissões adicionais, como uploads de modelos em buckets do Amazon S3 e listas suspensas para tipos de parâmetros específicos da AWS.

Para todas as ações a seguir, conceda permissões para todos os recursos. Não limite ações a pilhas ou buckets específicos.

A ação necessária a seguir é usada apenas pelo console do CloudFormation e não é documentada na referência da API. A ação permite que os usuários façam upload de modelos para buckets do Amazon S3.

cloudformation:CreateUploadBucket

Quando os usuários fazem upload de modelos, eles requerem as seguintes permissões do Amazon S3:

s3:PutObject s3:ListBucket s3:GetObject s3:CreateBucket

Para modelos com tipos de parâmetros específicos da AWS, os usuários precisam de permissões para fazer chamadas da API de descrição correspondente. Por exemplo, se um modelo incluir o tipo de parâmetro AWS::EC2::KeyPair::KeyName, os usuários precisarão de permissão para chamar a ação DescribeKeyPairs do EC2 (essa é a maneira como o console obtém valores para a lista suspensa de parâmetros). Os exemplos a seguir são ações de que os usuários precisam para outros tipos de parâmetros:

ec2:DescribeSecurityGroups (for the AWS::EC2::SecurityGroup::Id parameter type) ec2:DescribeSubnets (for the Subnet::Id parameter type) ec2:DescribeVpcs (for the AWS::EC2::VPC::Id parameter type)

Recursos do CloudFormation

O CloudFormation oferece suporte a permissões em nível de recurso para que você possa especificar ações para uma pilha específica, conforme mostrado na política a seguir:

exemplo Uma política de exemplo que nega ações de exclusão e atualização de pilhas para MyProductionStack
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Deny", "Action":[ "cloudformation:DeleteStack", "cloudformation:UpdateStack" ], "Resource":"arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/*" }] }

A política acima usa um caractere curinga no final do nome da pilha para que as ações de exclusão e atualização de pilha sejam negadas no ID da pilha completa (como arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/abc9dbf0-43c2-11e3-a6e8-50fa526be49c) e no nome da pilha (como MyProductionStack).

Para permitir que as transformações AWS::Serverless criem um conjunto de alterações, a política deve incluir a permissão no nível do recurso arn:aws:cloudformation:<region>:aws:transform/Serverless-2016-10-31, como mostrado na seguinte política:

exemplo Um exemplo de política que permite a ação de criação de um conjunto de alterações para a transformação
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet" ], "Resource": "arn:aws:cloudformation:us-west-2:aws:transform/Serverless-2016-10-31" }] }

Exemplo de política que concede permissões de conjunto de pilhas gerenciadas pelo serviço

O seguinte é uma política do IAM de exemplo que concede permissões de conjunto de pilhas gerenciadas pelo serviço a uma entidade principal (utilizador, função ou grupo). Um usuário com essa política só pode executar operações em conjuntos de pilhas com modelos que contêm tipos de recurso do Amazon S3 (AWS::S3::*) ou o tipo de recurso AWS::SES::ConfigurationSet. Quando conectado à conta de gerenciamento da organização com o ID 123456789012, o usuário também pode executar apenas operações em conjuntos de pilhas que têm como destino a OU com o ID ou-1fsfsrsdsfrewr, e só poderá executar operações no conjunto de pilhas com o ID stack-set-id que tem como destino a Conta da AWS com o ID 987654321012.

As operações do conjunto de pilha falharão se o modelo de conjunto de pilhas contiver tipos de recursos diferentes dos especificados na política ou se os destinos de implementação forem OU ou IDs de conta diferentes dos especificados na política para as contas de gerenciamento e conjuntos de pilhas correspondentes.

Essas restrições de política só se aplicam quando as operações de conjunto de pilha têm como destino as regiões us-east-1, us-west-2 ou eu-west-2 Regiões da AWS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/*", "arn:aws:cloudformation:*:*:type/resource/AWS-S3-*", "arn:aws:cloudformation:us-west-2::type/resource/AWS-SES-ConfigurationSet", "arn:aws:cloudformation:*:123456789012:stackset-target/*/ou-1fsfsrsdsfrewr", "arn:aws:cloudformation:*:123456789012:stackset-target/stack-set-id/987654321012" ], "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:TargetRegion": [ "us-east-1", "us-west-2", "eu-west-1" ] } } } ] }

Condições do CloudFormation

Em uma política do IAM, você pode opcionalmente especificar condições que controlam quando uma política está em vigor. Por exemplo, você pode definir uma política que permita que os usuários do criem uma pilha apenas quando especificarem uma determinada URL modelo. Você pode definir condições específicas do CloudFormation e condições gerais da AWS, como DateLessThan, que determinam quando uma política deixa de vigorar. Para obter mais informações e uma lista de condições gerais da AWS, consulte Condição na Referência a elementos de políticas do IAM, no Guia do usuário do IAM.

nota

Não use a condição aws:SourceIp em toda a AWS. O CloudFormation provisiona recursos usando seu próprio endereço IP, e não o endereço IP da solicitação de origem. Por exemplo, quando você cria uma pilha, o CloudFormation faz solicitações do seu endereço IP para executar uma instância do Amazon EC2 ou para criar um bucket do Amazon S3, e não do endereço IP da chamada CreateStack ou do comando aws cloudformation create-stack.

A lista a seguir descreve as condições específicas do CloudFormation. Essas condições são aplicadas apenas quando os usuários criam ou atualizam pilhas:

cloudformation:ChangeSetName

O nome de um conjunto de alterações do CloudFormation que você deseja associar a uma política. Use essa condição para controlar quais conjuntos de alterações os usuários do podem executar ou excluir.

cloudformation:ImportResourceTypes

Os tipos de recursos do modelo que você deseja associar a uma política, como AWS::EC2::Instance. Use essa condição para controlar com quais tipos de recursos os usuários do podem trabalhar quando importarem recursos para uma pilha. Essa condição é verificada em relação aos tipos de recursos que os usuários declaram no parâmetro ResourcesToImport, que atualmente tem suporte apenas para solicitações da AWS CLI e da API. Ao usar esse parâmetro, especifique todos os tipos de recursos que deseja que os usuários controlem durante as operações de importação. Para obter mais informações sobre o parâmetro ResourcesToImport, consulte a ação CreateChangeSet na Referência de APIs do AWS CloudFormation.

Para obter uma lista de possíveis ResourcesToImport, consulte Recursos que oferecem suporte a operações de importação.

Use a convenção de nomenclatura de recursos de três partes para especificar com quais tipos de recursos os usuários podem trabalhar, de todos os recursos de uma organização até um tipo de recurso individual.

organization::*

Especifique todos os tipos de recursos de uma determinada organização.

organization::service_name::*

Especifique todos os tipos de recurso do serviço especificado dentro de uma determinada organização.

organization::service_name::resource_type

Especifique um tipo de recurso específico.

Por exemplo:

AWS::*

Especifique todos os tipos de recursos da AWS compatíveis.

AWS::service_name::*

Especifique todos os recursos com suporte a um produto da AWS específico.

AWS::service_name::resource_type

Especifique um tipo de recurso da AWS específico, como AWS::EC2::Instance (todas as instâncias do EC2).

cloudformation:ResourceTypes

Os tipos de recursos modelo, como AWS::EC2::Instance, que você deseja associar a uma política. Use essa condição para controlar com quais tipos de recursos os usuários do podem trabalhar ao criar ou atualizar uma pilha. Essa condição é verificada em relação aos tipos de recursos que os usuários declaram no parâmetro ResourceTypes, que atualmente tem suporte apenas para solicitações da AWS CLI e da API. Ao usar esse parâmetro, os usuários devem especificar todos os tipos de recursos que estão em seu modelo. Para obter mais informações sobre o parâmetro ResourceTypes, consulte a ação CreateStack na Referência de APIs do AWS CloudFormation.

Para obter uma lista de tipos de recursos, consulte Referência de tipos de propriedades e recursos da AWS.

Use a convenção de nomenclatura de recursos de três partes para especificar com quais tipos de recursos os usuários podem trabalhar, de todos os recursos de uma organização até um tipo de recurso individual.

organization::*

Especifique todos os tipos de recursos de uma determinada organização.

organization::service_name::*

Especifique todos os tipos de recurso do serviço especificado dentro de uma determinada organização.

organization::service_name::resource_type

Especifique um tipo de recurso específico.

Por exemplo:

AWS::*

Especifique todos os tipos de recursos da AWS compatíveis.

AWS::service_name::*

Especifique todos os recursos com suporte a um produto da AWS específico.

AWS::service_name::resource_type

Especifique um tipo de recurso da AWS específico, como AWS::EC2::Instance (todas as instâncias do EC2).

Alexa::ASK::*

Especifique todos os tipos de recurso no Kit de habilidades do Alexa.

Alexa::ASK::Skill

Especifique o tipo de recurso de Habilidade individual.

Custom::*

Especifique todos os recursos personalizados.

Para obter mais informações sobre recursos personalizados, consulte Recursos personalizados.

Custom::resource_type

Especifique um tipo de recurso personalizado específico.

Para obter mais informações sobre recursos personalizados, consulte Recursos personalizados.

cloudformation:RoleARN

O Nome de recurso da Amazon (ARN) de uma função de serviço do IAM que você deseja associar a uma política. Use essa condição para controlar qual serviço os usuários do podem usar ao trabalhar com pilhas ou conjuntos de alterações.

cloudformation:StackPolicyUrl

O URL de uma política de pilha Amazon S3 que você deseja associar a uma política. Use essa condição para controlar quais políticas de pilha os usuários do podem associar a uma pilha durante uma ação de criação ou atualização de pilha. Para obter mais informações sobre políticas de pilhas, consulte Impedir atualizações nos recursos de pilha.

nota

Para garantir que os usuários do possam apenas criar ou atualizar pilhas com as políticas de pilhas que você carregou, defina o bucket do S3 como read only para esses usuários.

cloudformation:TemplateUrl

O URL de um modelo do Amazon S3 que você deseja associar a uma política. Use essa condição para controlar quais modelos os usuários do podem usar ao criar ou atualizar pilhas.

nota

Para garantir que os usuários do possam apenas criar ou atualizar pilhas com os modelos que você carregou, defina o bucket do S3 como read only para esses usuários.

nota

As seguintes condições específicas de CloudFormation se aplicam aos parâmetros da API com o mesmo nome:

  • cloudformation:ChangeSetName

  • cloudformation:RoleARN

  • cloudformation:StackPolicyUrl

  • cloudformation:TemplateUrl

Por exemplo, cloudformation:TemplateUrl só se aplica ao parâmetro TemplateUrl para as APIs CreateStack, UpdateStack e CreateChangeSet.

Exemplos

A política de exemplo a seguir permite que os usuários usem somente o URL do modelo https://s3.amazonaws.com/amzn-s3-demo-bucket/test.template para criar ou atualizar uma pilha.

exemplo Condição do URL do modelo
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack", "cloudformation:UpdateStack" ], "Resource" : "*", "Condition" : { "StringEquals" : { "cloudformation:TemplateUrl" : [ "https://s3.amazonaws.com/amzn-s3-demo-bucket/test.template" ] } } } ] }

A política de exemplo a seguir permite que os usuários concluam todas as operações do CloudFormation, exceto as operações de importação.

exemplo Condição de tipos de recursos de importação
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllStackOperations", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" }, { "Sid": "DenyImport", "Effect": "Deny", "Action": "cloudformation:*", "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "cloudformation:ImportResourceTypes": [ "*" ] } } } ] }

A política de exemplo a seguir permite todas as operações de pilha, bem como operações de importação somente em recursos especificados (neste exemplo, AWS::S3::Bucket).

exemplo Condição de tipos de recursos de importação
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImport", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:ImportResourceTypes": [ "AWS::S3::Bucket" ] } } } ] }

A política de exemplo a seguir permite que os usuários criem pilhas, mas nega solicitações se o modelo da pilha incluir qualquer recurso do serviço do IAM. A política também requer que os usuários especifiquem o parâmetro ResourceTypes, que está disponível apenas para solicitações de AWS CLI e de API. Essa política usa instruções de negação explícita de forma que se qualquer outra política conceder permissões adicionais, essa política sempre permanecerá em vigor (uma instrução de negação explícita sempre substitui uma instrução de permissão explícita).

exemplo Condição de tipo de recurso
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*" }, { "Effect" : "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAnyValue:StringLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] } } }, { "Effect": "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource": "*", "Condition": { "Null": { "cloudformation:ResourceTypes": "true" } } } ] }

A política de exemplo a seguir é semelhante ao exemplo anterior. A política permite que os usuários criem uma pilha, a menos que o modelo da pilha inclua qualquer recurso do serviço do IAM. Ela também requer que os usuários especifiquem o parâmetro ResourceTypes, que está disponível apenas para solicitações de AWS CLI e de API. Essa política é mais simples, mas não usa instruções de negação explícita. Outras políticas, que concedem permissões adicionais, podem substituir essa política.

exemplo Condição de tipo de recurso
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAllValues:StringNotLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] }, "Null":{ "cloudformation:ResourceTypes": "false" } } } ] }

Confirmar recursos do IAM em modelos do CloudFormation

Antes que você possa criar uma pilha, o CloudFormation deve validar seu modelo. Durante a validação, o CloudFormation verifica os recursos do IAM que seu modelo pode criar. Os recursos do IAM, como um usuário com acesso completo, podem acessar e modificar qualquer recurso na sua Conta da AWS. Portanto, sugerimos que você examine as permissões associadas a cada recurso do IAM antes de prosseguir, para não criar recursos acidentalmente com permissões escalonadas. Para garantir que fez isso, você deve confirmar que o modelo contém esses recursos, fornecendo ao CloudFormation as capacidades especificadas antes de criar a pilha.

Você pode confirmar as capacidades dos modelos do CloudFormation usando o console do CloudFormation, a AWS Command Line Interface (AWS CLI) ou a API:

  • No console do CloudFormation, na página Revisar dos assistentes de criação ou de atualização de pilhas, escolha Eu reconheço que este modelo pode criar recursos do IAM.

  • Na AWS CLI, ao usar os comandos aws cloudformation create-stack e aws cloudformation update-stack, especifique o valor CAPABILITY_IAM ou CAPABILITY_NAMED_IAM para o parâmetro --capabilities. Se seu modelo incluir recursos do IAM, você poderá especificar uma dessas capacidades. Se seu modelo incluir nomes personalizados para recursos do IAM, você deverá especificar CAPABILITY_NAMED_IAM.

  • Na API, ao usar as ações CreateStack e UpdateStack, especifique Capabilities.member.1=CAPABILITY_IAM ou Capabilities.member.1=CAPABILITY_NAMED_IAM. Se seu modelo incluir recursos do IAM, você poderá especificar uma dessas capacidades. Se seu modelo incluir nomes personalizados para recursos do IAM, você deverá especificar CAPABILITY_NAMED_IAM.

Importante

Se seu modelo contiver recursos do IAM nomeados personalizados, não crie várias pilhas reutilizando o mesmo modelo. Os recursos do IAM devem ser globalmente exclusivos na sua conta. Se você usar o mesmo modelo para criar várias pilhas em diferentes regiões, suas pilhas poderão compartilhar os mesmos recursos do IAM, em vez de cada uma ter um recurso exclusivo. Recursos compartilhados entre pilhas podem ter consequências acidentais das quais não é possível se recuperar. Por exemplo, se você excluir ou atualizar recursos compartilhados do IAM em uma pilha, você modificará acidentalmente os recursos de outras pilhas.

Gerenciar credenciais para aplicativos em execução em instâncias do Amazon EC2

Se você tiver uma aplicação executada em uma instância do Amazon EC2 e precisar fazer solicitações a recursos da AWS, como buckets do Amazon S3 ou uma tabela do DynamoDB, essa aplicação precisará de credenciais de segurança da AWS. No entanto, a distribuição e a inserção de credenciais de segurança de longo prazo em cada instância que você executa é um desafio e um risco potencial à segurança. Em vez de usar credenciais de longo prazo, como credenciais de usuário do IAM, recomendamos que você crie uma função do IAM que seja associada a uma instância do Amazon EC2 quando a instância for iniciada. Um aplicativo pode obter credenciais de segurança temporárias na instância Amazon EC2. Você não precisa inserir credenciais de longo prazo na instância. Além disso, para facilitar o gerenciamento de credenciais, você pode especificar apenas uma única função para várias instâncias Amazon EC2. Você não precisa criar credenciais exclusivas para cada instância.

Para obter um trecho de modelo que mostra como executar uma instância com uma função, consulte Exemplos de modelos de função do IAM.

nota

As aplicações em instâncias que usam credenciais de segurança temporárias podem chamar qualquer ação do CloudFormation. No entanto, como o CloudFormation interage com muitos outros serviços da AWS, é necessário verificar se todos os serviços que você deseja usar oferecem suporte a credenciais de segurança temporárias. Para obter uma lista de serviços que aceitam credenciais de segurança temporárias, consulte os serviços da AWS que funcionam com o IAM no Guia do usuário do IAM.

Conceder acesso temporário (acesso federado)

Em alguns casos, você pode desejar conceder aos usuários sem credenciais da AWS acesso temporário à sua Conta da AWS. Em vez de criar e excluir credenciais de longo prazo sempre que você quiser conceder acesso temporário, use o AWS Security Token Service (AWS STS). Por exemplo, você pode usar funções do IAM. Em uma função do IAM, você pode criar programaticamente e distribuir muitas credenciais de segurança temporárias (que incluem uma chave de acesso, uma chave de acesso secreta e um token de segurança). Essas credenciais têm vida útil limitada e, portanto, não podem ser usadas para acessar sua Conta da AWS depois que expiram. Você também pode criar vários perfis do IAM para conceder diferentes níveis de permissões a usuários individuais. Perfis do IAM são úteis para cenários como identidades federadas e logon único.

Uma identidade federada é uma identidade distinta que você pode usar entre vários sistemas. Para usuários corporativos com um sistema de identidade estabelecido on-premises (como o LDAP ou o Active Directory), você pode tratar de toda a autenticação com seu sistema de identidade local. Quando um usuário é autenticado, você fornece credenciais de segurança temporárias a partir da função ou do usuário do IAM apropriado. Por exemplo, é possível criar um perfil administrators e um perfil developers em que os administradores têm acesso total à conta da AWS e os desenvolvedores têm permissões para trabalhar apenas com pilhas do CloudFormation. Depois que um administrador é autenticado, o administrador é autorizado a obter credenciais de segurança temporárias da função administrators. No entanto, os desenvolvedores podem obter credenciais de segurança temporárias apenas da função developers.

Você também pode conceder aos usuários federados acesso ao AWS Management Console. Depois que os usuários se autenticam com o sistema de identidade on-premises, você pode construir programaticamente um URL temporário que forneça acesso direto ao AWS Management Console. Quando os usuários usam o URL temporário, eles não precisam fazer login na AWS porque já foram autenticados (autenticação única). Além disso, como o URL é construído a partir das credenciais de segurança temporárias dos usuários, as permissões que estão disponíveis com essas credenciais determinam quais permissões os usuários têm no AWS Management Console.

Você pode usar várias diferentes APIs do AWS STS para gerar credenciais de segurança temporárias. Para obter mais informações sobre qual API usar, consulte Comparar credenciais do AWS STS no Guia do usuário do IAM.

Importante

Você não pode trabalhar com o IAM ao usar credenciais de segurança temporárias que foram geradas a partir da API GetFederationToken. Em vez disso, se você precisar trabalhar com o IAM, use credenciais de segurança temporárias de uma função.

O CloudFormation interage com muitos outros serviços da AWS. Ao usar credenciais de segurança temporárias com o CloudFormation, verifique se todos os serviços que deseja usar oferecem suporte a credenciais de segurança temporárias. Para obter uma lista de serviços que aceitam credenciais de segurança temporárias, consulte os serviços da AWS que funcionam com o IAM no Guia do usuário do IAM.

Para obter mais informações, consulte os seguintes recursos relacionados no Guia do usuário do IAM: