Rol de servicio AWS CloudFormation - AWS CloudFormation

Rol de servicio AWS CloudFormation

Un rol de servicio es un AWS Identity and Access Management rol de (IAM) que permite a CloudFormation hacer solicitudes a recursos de una pila en su nombre. Puede especificar un rol de IAM que permita a CloudFormation crear, actualizar o eliminar los recursos de su pila. De forma predeterminada, CloudFormation utiliza una sesión temporal que se genera a partir de sus credenciales de usuario para las operaciones de pila. Si especifica un rol de servicio, CloudFormation utiliza las credenciales de ese rol.

Utilice un rol de servicio para especificar explícitamente las acciones que CloudFormation puede realizar, que es posible que no siempre sean las mismas que realiza usted u otros usuarios. Por ejemplo, puede tener privilegios administrativos, pero puede limitar el acceso a CloudFormation solo para acciones de Amazon EC2.

Puede crear el rol de servicio y su política de permisos con el servicio de IAM. Para obtener más información acerca de cómo crear un rol de servicio, consulte Crear un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM. Especifique CloudFormation (cloudformation.amazonaws.com) como el servicio que puede asumir el rol.

Para asociar un rol de servicio a una pila, especifique el rol al crear la pila. Para obtener más información, consulte Configurar las opciones la pila. También puede cambiar el rol de servicio al actualizar la pila en la consola o DeleteStack la pila a través de la API. Antes de especificar un rol de servicio, asegúrese de que tiene permiso para pasarlo (iam:PassRole). El permiso iam:PassRole especifica los roles que puede utilizar. Para obtener más información, consulte Conceder permisos a un usuario para transferir un rol a un servicio de AWS en la Guía del usuario de IAM.

importante

Cuando especifica un rol de servicio, CloudFormation siempre lo utiliza para todas las operaciones que se realizan en esa pila. No es posible eliminar un rol de servicio asociado a una pila después de crear la pila. Otros usuarios que tengan permisos para realizar operaciones en esta pila podrán usar este rol, sin importar si esos usuarios tienen o no el permiso iam:PassRole. Si el rol incluye permisos que el usuario no debería tener, puede escalar involuntariamente los permisos de un usuario. Asegúrese de que el rol concede privilegios mínimos. Para obtener más información, consulte Aplicar permisos de privilegio mínimo en la Guía del usuario de IAM.