AWS CloudFormation 服务角色
服务角色是一个 AWS Identity and Access Management(IAM)角色,允许 CloudFormation 代表您调用堆栈中的资源。您可以指定一个将允许 CloudFormation 创建、更新或删除堆栈资源的 IAM 角色。默认情况下,CloudFormation 会使用根据您的用户凭证为堆栈操作生成的临时会话。如果指定了服务角色,CloudFormation 将使用该角色的凭证。
使用服务角色可以显式指定 CloudFormation 可执行的操作,这些操作可能不会总是与您或其他用户可执行的操作相同。例如,您可能具有管理员权限,但您可以限制 CloudFormation 的访问权限以仅允许 Amazon EC2 操作。
您可以使用 IAM 服务创建服务角色及其权限策略。有关创建服务角色的更多信息,请参阅《IAM 用户指南》中的创建向 AWS 服务委派权限的角色。将 CloudFormation (cloudformation.amazonaws.com
) 指定为可代入该角色的服务。
要将服务角色与堆栈关联,请在创建堆栈时指定角色。有关详细信息,请参阅配置堆栈选项。您还可以在控制台中更新堆栈时或通过 API DeleteStack 堆栈时更改服务角色。在指定服务角色之前,请确保您具有传递该角色的权限 (iam:PassRole
)。iam:PassRole
权限指定您可以使用哪些角色。有关更多信息,请参阅《IAM 用户指南》中的向用户授予权限以将角色传递给 AWS 服务。
重要
在您指定服务角色后,CloudFormation 在该堆栈上执行的所有操作将始终使用该角色。创建堆栈后,无法删除附加到堆栈的服务角色。拥有权限,可对此堆栈执行操作的其他用户可以使用该角色,无论这些用户是否拥有 iam:PassRole
权限。如果该角色包含用户不应具有的权限,则您可能无意中提升了用户的权限。确保该角色授予最小权限。有关更多信息,请参阅《IAM 用户指南》中的应用最低权限许可。