本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS CloudFormation 服務角色
服務角色是一種 AWS Identity and Access Management (IAM) 角色,可 AWS CloudFormation 讓您代表您呼叫堆疊中的資源。您可以指定 IAM 角色, AWS CloudFormation 以建立、更新或刪除堆疊資源。依預設,會 AWS CloudFormation 使用從您的使用者認證產生的暫時工作階段來進行堆疊作業。如果您指定服務角色, AWS CloudFormation 就會使用角色的憑證。
使用服務角色來明確指定 AWS CloudFormation 可以執行的動作,這些動作可能不一定與您或其他使用者可執行的動作相同。例如,您可能擁有管理權限,但您可以限制只能 AWS CloudFormation 存取 Amazon EC2 動作。
您使用 IAM 服務建立服務角色及其許可政策。如需有關建立服務角色的詳細資訊,請參閱《IAM 使用者指南》中的建立角色以將權限委派給 AWS 服務。指定 AWS CloudFormation
(cloudformation.amazonaws.com
) 作為可擔任該角色的服務。
若要建立服務角色與堆疊的關聯,請在您建立堆疊時指定角色。如需詳細資訊,請參閱 設定 AWS CloudFormation 堆疊選項。您也可以在主控台中更新堆疊或DeleteStack
透過 API 更新堆疊時變更服務角色。在您指定服務角色之前,請確保您有傳遞許可 (iam:PassRole
)。iam:PassRole
許可會指定您可使用哪些角色。
重要
當您指定服務角色時,一 AWS CloudFormation 律會針對在該堆疊上執行的所有作業使用該角色。建立堆疊後,就無法移除連接至堆疊的服務角色。其他具有在此堆疊上執行作業權限的使用者都可以使用此角色,無論這些使用者是否具有iam:PassRole
權限。如果該角色包含使用者不該有的許可,您可能在無意中提升使用者的許可。確定該角色授予最低權限。