AWS CloudFormation ruolo di servizio

Un ruolo di servizio è un ruolo AWS Identity and Access Management (IAM) che consente di CloudFormation effettuare chiamate alle risorse in uno stack per tuo conto. Puoi specificare un IAM ruolo che CloudFormation consenta di creare, aggiornare o eliminare le risorse dello stack. Per impostazione predefinita, CloudFormation utilizza una sessione temporanea generata dalle credenziali utente per le operazioni sullo stack. Se si specifica un ruolo di servizio, CloudFormation utilizza le credenziali di quel ruolo.

Utilizza un ruolo di servizio per specificare in modo esplicito le azioni che CloudFormation è possibile eseguire, che potrebbero non essere sempre le stesse azioni eseguite da te o da altri utenti. Ad esempio, potresti avere privilegi amministrativi, ma puoi limitare CloudFormation l'accesso solo alle EC2 azioni di Amazon.

Il ruolo del servizio e la relativa politica di autorizzazione vengono creati con il IAM servizio. Per ulteriori informazioni sulla creazione di un ruolo di servizio, consulta Creare un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'IAMutente. Specificate CloudFormation (cloudformation.amazonaws.com) come servizio che può assumere il ruolo.

Per associare un ruolo del servizio con uno stack, specifica il ruolo al momento della creazione dello stack. Per informazioni dettagliate, consultare Configura le opzioni dello stack. Puoi anche modificare il ruolo del servizio quando aggiorni lo stack nella console, oppure DeleteStacklo stack attraverso il. API Prima di specificare un ruolo del servizio, assicurarsi di disporre dell'autorizzazione per passarlo (iam:PassRole). L'autorizzazione iam:PassRole specifica quali ruolo puoi utilizzare. Per ulteriori informazioni, consulta Concedere a un utente le autorizzazioni per passare un ruolo a un AWS servizio nella Guida per l'IAMutente.

Importante

Quando specifichi un ruolo di servizio, utilizza CloudFormation sempre quel ruolo per tutte le operazioni eseguite su quello stack. Non è possibile rimuovere un ruolo di servizio collegato a uno stack dopo la creazione dello stack. Gli altri utenti che dispongono delle autorizzazioni per eseguire operazioni su questo stack possono utilizzare questo ruolo, indipendentemente dal fatto che tali utenti dispongano dell'iam:PassRoleautorizzazione o meno. Se il ruolo include le autorizzazioni di cui l'utente non dovrebbe disporre, puoi riassegnare involontariamente le autorizzazioni di un utente. Assicurati che il ruolo garantisca i privilegi minimi. Per ulteriori informazioni, consulta Applica le autorizzazioni con privilegi minimi nella Guida per l'utente. IAM

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Controlla l'accesso con IAM

Prevenzione del problema "confused deputy" tra servizi