Função de serviço do AWS CloudFormation

Um perfil de serviço é um perfil do AWS Identity and Access Management (IAM) que permite que o CloudFormation faça chamadas a recursos em uma pilha em seu nome. Você pode especificar um perfil do IAM que permita que o CloudFormation crie, atualize ou exclua seus recursos da pilha. Por padrão, o CloudFormation usa uma sessão temporária que ele gera a partir de suas credenciais de usuário para operações de pilha. Se você especificar uma função de serviço, o CloudFormation usará as credenciais da função.

Use uma função de serviço para especificar explicitamente as ações que o CloudFormation pode realizar, que podem nem sempre ser sempre as mesmas ações que você ou outros usuários podem realizar. Por exemplo, você pode ter privilégios administrativos, mas pode limitar o acesso do CloudFormation a apenas ações do Amazon EC2.

Você cria o perfil de serviço e a respectiva política de permissão com o serviço do IAM. Para obter mais informações sobre a criação de um perfil de serviço, consulte Criar um perfil para delegar permissões a um serviço da AWS no Guia do usuário do IAM. Especifique o CloudFormation (cloudformation.amazonaws.com) como o serviço que pode assumir a função.

Para associar uma função de serviço a uma pilha, especifique a função ao criar a pilha. Para obter detalhes, consulte Configurar opções da pilha. Você também pode alterar o perfil de serviço ao atualizar a pilha no console ou DeleteStack a pilha via API. Antes de especificar um perfil de serviço, certifique-se de ter permissão para aprová-la (iam:PassRole). A permissão iam:PassRole especifica quais perfis você pode usar. Para obter mais informações, consulte Conceder permissões ao usuário para passar um perfil para um serviço da AWS no Guia do usuário do IAM.