AWS CloudFormation rôle de service

Un rôle de service est un rôle AWS Identity and Access Management (IAM) qui CloudFormation permet d'appeler les ressources d'une pile en votre nom. Vous pouvez spécifier un rôle IAM qui permette à CloudFormation de créer, mettre à jour ou supprimer les ressources d'une pile. Par défaut, CloudFormation utilise une session temporaire générée à partir de vos informations d'identification utilisateur pour les opérations de stack. Si vous spécifiez un rôle de service, utilisez CloudFormation les informations d'identification de ce rôle.

Utilisez un rôle de service pour spécifier explicitement les actions qui CloudFormation peuvent être effectuées, qui ne sont pas toujours les mêmes que celles que vous ou les autres utilisateurs pouvez effectuer. Par exemple, vous pouvez avoir des privilèges administratifs, mais vous pouvez limiter CloudFormation l'accès aux seules EC2 actions Amazon.

Le rôle de service et sa stratégie d'autorisation sont créés à partir du service IAM. Pour plus d'informations sur la création d'un rôle de service, voir Créer un rôle pour déléguer des autorisations à un AWS service dans le Guide de IAM l'utilisateur. Spécifiez CloudFormation (cloudformation.amazonaws.com) en tant que service habilité à assumer le rôle.

Pour associer un rôle de service à une pile, spécifiez le rôle au moment où vous créez la pile. Pour plus de détails, consultez Configurer les options de pile. Vous pouvez également modifier le rôle du service lorsque vous mettez à jour la pile dans la console, ou DeleteStackla pile à travers leAPI. Avant de spécifier un rôle de service, vérifiez que vous êtes autorisé à le transmettre (iam:PassRole). L'autorisation iam:PassRole indique les rôles que vous pouvez utiliser. Pour plus d'informations, voir Accorder à un utilisateur l'autorisation de transmettre un rôle à un AWS service dans le Guide de IAM l'utilisateur.