Amazon CloudFormation 服务角色 - Amazon CloudFormation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon CloudFormation 服务角色

服务角色是一个 Amazon Identity and Access Management(IAM)角色,允许 Amazon CloudFormation 代表您调用堆栈中的资源。您可以指定允许 Amazon CloudFormation 创建、更新或删除您的堆栈资源的 IAM 角色。默认情况下,Amazon CloudFormation 使用根据您的用户凭据为堆栈操作生成的临时会话。如果指定服务角色,Amazon CloudFormation 将使用该角色的凭证。

使用服务角色可以明确指定 Amazon CloudFormation 可执行的操作,这些操作可能不会总是与您或其他用户可执行的操作相同。例如,您可能具有管理权限,但是,您可以将 Amazon CloudFormation 访问权限限制为仅 Amazon EC2 操作。

您可以使用 IAM 服务创建服务角色及其权限策略。有关创建服务角色的更多信息,请参阅《IAM 用户指南》中的创建向 Amazon 服务委派权限的角色。指定 Amazon CloudFormation (cloudformation.amazonaws.com) 作为可代入此角色的服务。

要将服务角色与堆栈关联,请在创建堆栈时指定角色。有关详细信息,请参阅设置 Amazon CloudFormation 堆栈选项。您还可以在控制台中更新堆栈时或通过 API DeleteStack 堆栈时更改服务角色。在指定服务角色之前,请确保您具有传递该角色的权限 (iam:PassRole)。iam:PassRole 权限指定您可以使用哪些角色。

重要

在您指定服务角色后,Amazon CloudFormation 始终对在该堆栈上执行的所有操作使用该角色。创建堆栈后,无法删除附加到堆栈的服务角色。拥有权限,可对此堆栈执行操作的其他用户可以使用该角色,无论这些用户是否拥有 iam:PassRole 权限。如果该角色包含用户不应具有的权限,则您可能无意中提升了用户的权限。确保该角色授予最小权限