AWS CloudFormation Servicerolle - AWS CloudFormation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS CloudFormation Servicerolle

Eine Servicerolle ist eine AWS Identity and Access Management (IAM) -Rolle, mit der Sie in Ihrem Namen Ressourcen in einem Stack aufrufen können CloudFormation . Sie können eine IAM-Rolle festlegen, die CloudFormation berechtigt, Stack-Ressourcen zu erstellen, zu aktualisieren oder zu löschen. CloudFormation Verwendet standardmäßig eine temporäre Sitzung, die aus Ihren Benutzeranmeldeinformationen für Stack-Operationen generiert wird. Wenn Sie eine Servicerolle angeben, CloudFormation verwendet die Anmeldeinformationen dieser Rolle.

Verwenden Sie eine Servicerolle, um explizit anzugeben, welche Aktionen ausgeführt werden CloudFormation können. Dabei handelt es sich möglicherweise nicht immer um dieselben Aktionen, die Sie oder andere Benutzer ausführen können. Beispielsweise verfügen Sie möglicherweise über Administratorrechte, können den CloudFormation Zugriff jedoch nur auf EC2 Amazon-Aktionen beschränken.

Sie erstellen die Service-Rolle und die Berechtigungsrichtlinie mit dem IAM-Service. Weitere Informationen zum Erstellen einer Servicerolle finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Service im IAMBenutzerhandbuch. Legen Sie CloudFormation (cloudformation.amazonaws.com) als den Dienst fest, der die Rolle annehmen kann.

Um eine Service-Rolle einem Stack zuzuordnen, legen Sie die Rolle beim Erstellen des Stack fest. Details hierzu finden Sie unter Konfigurieren Sie die Stack-Optionen. Sie können die Servicerolle auch ändern, wenn Sie den Stack in der Konsole aktualisieren, oder DeleteStackder Stapel durch denAPI. Bevor Sie eine Service-Rolle festlegen, stellen Sie sicher, dass Sie über die Berechtigung zum Weiterleiten (iam:PassRole) verfügen. Die iam:PassRole-Berechtigung gibt an, welche Rollen Sie verwenden können. Weitere Informationen finden Sie im Benutzerhandbuch unter Gewähren von Benutzerberechtigungen zum Übergeben einer Rolle an einen AWS Dienst. IAM

Wichtig

Wenn Sie eine Servicerolle angeben, verwendet diese Rolle CloudFormation immer für alle Operationen, die auf diesem Stack ausgeführt werden. Es ist nicht möglich, eine Service-Rolle zu entfernen, die einem Stack zugewiesen ist, nachdem der Stack erstellt wurde. Andere Benutzer, die berechtigt sind, Operationen auf diesem Stack auszuführen, können diese Rolle verwenden, unabhängig davon, ob diese Benutzer über die iam:PassRole entsprechende Berechtigung verfügen oder nicht. Wenn die Rolle Berechtigungen umfasst, die der Benutzer nicht haben sollte, können Sie die Berechtigungen eines Benutzers versehentlich weiterleiten. Stellen Sie sicher, dass die Rolle die geringsten Rechte zugesteht. Weitere Informationen finden Sie unter Anwenden von geringsten Berechtigungen im IAM-Benutzerhandbuch.