AWS CloudFormation Servicerolle - AWS CloudFormation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS CloudFormation Servicerolle

Eine Servicerolle ist eine AWS Identity and Access Management (IAM-) Rolle, mit der AWS CloudFormation Sie in Ihrem Namen Ressourcen in einem Stack aufrufen können. Sie können eine IAM-Rolle angeben, mit der Sie Ihre Stack-Ressourcen erstellen, aktualisieren oder löschen können AWS CloudFormation . AWS CloudFormation Verwendet standardmäßig eine temporäre Sitzung, die aus Ihren Benutzeranmeldedaten für Stack-Operationen generiert wird. Wenn Sie eine Service-Rolle festlegen, verwendet AWS CloudFormation die Anmeldeinformationen der Rolle.

Verwenden Sie eine Servicerolle, um explizit anzugeben, welche Aktionen ausgeführt werden AWS CloudFormation können. Dabei handelt es sich möglicherweise nicht immer um dieselben Aktionen, die Sie oder andere Benutzer ausführen können. Beispielsweise verfügen Sie möglicherweise über Administratorrechte, können den AWS CloudFormation Zugriff jedoch nur auf Amazon EC2 EC2-Aktionen beschränken.

Sie erstellen die Service-Rolle und die Berechtigungsrichtlinie mit dem IAM-Service. Weitere Informationen zum Erstellen einer Servicerolle finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Service im IAM-Benutzerhandbuch. Legen Sie AWS CloudFormation (cloudformation.amazonaws.com) als den Dienst fest, der die Rolle annehmen kann.

Um eine Service-Rolle einem Stack zuzuordnen, legen Sie die Rolle beim Erstellen des Stack fest. Details hierzu finden Sie unter AWS CloudFormation Stack-Optionen festlegen. Sie können die Servicerolle auch ändern, wenn Sie den Stack in der Konsole oder den Stack über DeleteStackdie API aktualisieren. Bevor Sie eine Service-Rolle festlegen, stellen Sie sicher, dass Sie über die Berechtigung zum Weiterleiten (iam:PassRole) verfügen. Die iam:PassRole-Berechtigung gibt an, welche Rollen Sie verwenden können.

Wichtig

Wenn Sie eine Servicerolle angeben, verwendet diese Rolle AWS CloudFormation immer für alle Operationen, die auf diesem Stack ausgeführt werden. Es ist nicht möglich, eine Service-Rolle zu entfernen, die einem Stack zugewiesen ist, nachdem der Stack erstellt wurde. Andere Benutzer, die berechtigt sind, Operationen auf diesem Stack auszuführen, können diese Rolle verwenden, unabhängig davon, ob diese Benutzer über die iam:PassRole entsprechende Berechtigung verfügen oder nicht. Wenn die Rolle Berechtigungen umfasst, die der Benutzer nicht haben sollte, können Sie die Berechtigungen eines Benutzers versehentlich weiterleiten. Stellen Sie sicher, dass die Rolle die geringsten Rechte zugesteht.