AWS CloudFormation
User Guide (API Version 2010-05-15)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

AWS CloudFormation 服务角色

服务角色 是一个 AWS Identity and Access Management (IAM) 角色,允许 AWS CloudFormation 代表您调用堆栈中的资源。您可以指定允许 AWS CloudFormation 创建、更新或删除您的堆栈资源的 IAM 角色。默认情况下,AWS CloudFormation 使用根据您的用户凭据为堆栈操作生成的临时会话。如果指定服务角色,AWS CloudFormation 将使用该角色的凭证。

使用服务角色可以明确指定 AWS CloudFormation 可执行的操作,这些操作可能不会总是与您或其他用户可执行的操作相同。例如,您可能具有管理权限,但是,您可以将 AWS CloudFormation 访问权限限制为仅 Amazon EC2 操作。

您可以使用 IAM 服务创建服务角色及其权限策略。有关创建服务角色的更多信息,请参阅 IAM 用户指南 中的创建向 AWS 服务委托权限的角色。指定 AWS CloudFormation (cloudformation.amazonaws.com) 作为可代入此角色的服务。

要将服务角色与堆栈关联,请在创建堆栈时指定角色。有关详细信息,请参阅 设置堆栈选项。在更新删除堆栈时,也可更改服务角色。在指定服务角色之前,请确保您具有传递该角色的权限 (iam:PassRole)。iam:PassRole 权限指定您可以使用哪些角色。

重要

在您指定服务角色后,AWS CloudFormation 始终对在该堆栈上执行的所有操作使用该角色。拥有对此堆栈执行操作的权限的其他用户将可以使用该角色,即使他们无权传递该角色也是如此。如果该角色包含用户不应具有的权限,则您可能无意中提升了用户的权限。确保该角色授予最小权限