AWS CloudFormation 服務角色

服務角色是一種 AWS Identity and Access Management (IAM) 角色，可 AWS CloudFormation 讓您代表您呼叫堆疊中的資源。您可以指定 IAM 角色， AWS CloudFormation 以建立、更新或刪除堆疊資源。依預設，會 AWS CloudFormation 使用從您的使用者認證產生的暫時工作階段來進行堆疊作業。如果您指定服務角色， AWS CloudFormation 就會使用角色的憑證。

使用服務角色來明確指定 AWS CloudFormation 可以執行的動作，這些動作可能不一定與您或其他使用者可執行的動作相同。例如，您可能擁有管理權限，但您可以限制只能 AWS CloudFormation 存取 Amazon EC2 動作。

您使用 IAM 服務建立服務角色及其許可政策。如需有關建立服務角色的詳細資訊，請參閱《IAM 使用者指南》中的建立角色以將權限委派給 AWS 服務。指定 AWS CloudFormation (cloudformation.amazonaws.com) 作為可擔任該角色的服務。

若要建立服務角色與堆疊的關聯，請在您建立堆疊時指定角色。如需詳細資訊，請參閱 設定 AWS CloudFormation 堆疊選項。您也可以在主控台中更新堆疊或DeleteStack透過 API 更新堆疊時變更服務角色。在您指定服務角色之前，請確保您有傳遞許可 (iam:PassRole)。iam:PassRole 許可會指定您可使用哪些角色。

重要

當您指定服務角色時，一 AWS CloudFormation 律會針對在該堆疊上執行的所有作業使用該角色。建立堆疊後，就無法移除連接至堆疊的服務角色。其他具有在此堆疊上執行作業權限的使用者都可以使用此角色，無論這些使用者是否具有iam:PassRole權限。如果該角色包含使用者不該有的許可，您可能在無意中提升使用者的許可。確定該角色授予最低權限。