本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
服務角色是 AWS Identity and Access Management (IAM) 角色,可讓 CloudFormation 代表您呼叫堆疊中的資源。您可以指定允許 CloudFormation 建立、更新或刪除堆疊資源的 IAM 角色。根據預設,CloudFormation 會使用臨時工作階段,其會從使用者登入資料產生,以進行堆疊操作。如果您指定服務角色,CloudFormation 會使用該角色的登入資料。
使用服務角色明確指定 CloudFormation 可執行的動作,這不一定與您或其他使用者可執行的動作相同。例如,您可能具有管理權限,但您可以將 CloudFormation 存取限制為僅 Amazon EC2 動作。
您使用 IAM 服務建立服務角色及其許可政策。如需建立服務角色的詳細資訊,請參閱《IAM 使用者指南》中的建立角色以將許可委派給 AWS 服務。將 CloudFormation (cloudformation.amazonaws.com) 指定為可擔任該角色的服務。
若要建立服務角色與堆疊的關聯,請在您建立堆疊時指定角色。如需詳細資訊,請參閱 設定堆疊選項。您也可以在主控台中更新堆疊或透過 API DeleteStack 更新堆疊時變更服務角色。在您指定服務角色之前,請確保您有傳遞許可 (iam:PassRole)。iam:PassRole 許可會指定您可使用哪些角色。如需詳細資訊,請參閱《IAM 使用者指南》中的授予使用者將角色傳遞至 AWS 服務的許可。
重要
當您指定服務角色時,CloudFormation 一律會將該角色用於在該堆疊上執行的所有操作。建立堆疊後,就無法移除連接至堆疊的服務角色。具有在此堆疊上執行操作許可的其他使用者,無論這些使用者是否具有iam:PassRole許可,都可以使用此角色。如果該角色包含使用者不該有的許可,您可能在無意中提升使用者的許可。確定該角色授予最低權限。如需詳細資訊,請參閱《IAM 使用者指南》中的套用最低權限許可。
