AWS CloudFormation 服务角色 - AWS CloudFormation

AWS CloudFormation 服务角色

服务角色是一个 AWS Identity and Access Management(IAM)角色,允许 AWS CloudFormation 代表您调用堆栈中的资源。您可以指定允许 AWS CloudFormation 创建、更新或删除您的堆栈资源的 IAM 角色。默认情况下,AWS CloudFormation 使用根据您的用户凭据为堆栈操作生成的临时会话。如果指定服务角色,AWS CloudFormation 将使用该角色的凭证。

使用服务角色可以明确指定 AWS CloudFormation 可执行的操作,这些操作可能不会总是与您或其他用户可执行的操作相同。例如,您可能具有管理权限,但是,您可以将 AWS CloudFormation 访问权限限制为仅 Amazon EC2 操作。

您可以使用 IAM 服务创建服务角色及其权限策略。有关创建服务角色的更多信息,请参阅《IAM 用户指南》中的创建向 AWS 服务委派权限的角色。指定 AWS CloudFormation (cloudformation.amazonaws.com) 作为可代入此角色的服务。

要将服务角色与堆栈关联,请在创建堆栈时指定角色。有关详细信息,请参阅设置 AWS CloudFormation 堆栈选项。您还可以在控制台中更新堆栈时或通过 API DeleteStack 堆栈时更改服务角色。在指定服务角色之前,请确保您具有传递该角色的权限 (iam:PassRole)。iam:PassRole 权限指定您可以使用哪些角色。

重要

在您指定服务角色后,AWS CloudFormation 始终对在该堆栈上执行的所有操作使用该角色。创建堆栈后,无法删除附加到堆栈的服务角色。拥有权限,可对此堆栈执行操作的其他用户可以使用该角色,无论这些用户是否拥有 iam:PassRole 权限。如果该角色包含用户不应具有的权限,则您可能无意中提升了用户的权限。确保该角色授予最小权限