Amazon CloudFormation 服务角色 - Amazon CloudFormation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon CloudFormation 服务角色

服务角色是一个 Amazon Identity and Access Management(IAM)角色,允许 CloudFormation 代表您调用堆栈中的资源。您可以指定一个将允许 CloudFormation 创建、更新或删除堆栈资源的 IAM 角色。默认情况下,CloudFormation 会使用根据您的用户凭证为堆栈操作生成的临时会话。如果指定了服务角色,CloudFormation 将使用该角色的凭证。

使用服务角色可以显式指定 CloudFormation 可执行的操作,这些操作可能不会总是与您或其他用户可执行的操作相同。例如,您可能具有管理员权限,但您可以限制 CloudFormation 的访问权限以仅允许 Amazon EC2 操作。

您可以使用 IAM 服务创建服务角色及其权限策略。有关创建服务角色的更多信息,请参阅《IAM 用户指南》中的创建向 Amazon 服务委派权限的角色。将 CloudFormation (cloudformation.amazonaws.com) 指定为可代入该角色的服务。

要将服务角色与堆栈关联,请在创建堆栈时指定角色。有关详细信息,请参阅配置堆栈选项。您还可以在控制台中更新堆栈时或通过 API DeleteStack 堆栈时更改服务角色。在指定服务角色之前,请确保您具有传递该角色的权限 (iam:PassRole)。iam:PassRole 权限指定您可以使用哪些角色。有关更多信息,请参阅《IAM 用户指南》中的向用户授予权限以将角色传递给 Amazon 服务

重要

在您指定服务角色后,CloudFormation 在该堆栈上执行的所有操作将始终使用该角色。创建堆栈后,无法删除附加到堆栈的服务角色。拥有权限,可对此堆栈执行操作的其他用户可以使用该角色,无论这些用户是否拥有 iam:PassRole 权限。如果该角色包含用户不应具有的权限,则您可能无意中提升了用户的权限。确保该角色授予最小权限。有关更多信息,请参阅《IAM 用户指南》中的应用最低权限许可