本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CloudFormation 服務角色
服務角色是 AWS Identity and Access Management (IAM) 角色,可讓 CloudFormation 代表您呼叫堆疊中的資源。您可以指定 IAM 角色,讓 CloudFormation 建立、更新或刪除您的堆疊資源。根據預設,CloudFormation 會使用從您的堆疊操作使用者登入資料所產生的暫時工作階段。如果您指定服務角色,CloudFormation 就會使用角色的登入資料。
使用服務角色明確指定 CloudFormation 可以執行的動作,但不一定是您或其他使用者可以執行的相同動作。例如,您可能有管理權限,但您可以限制 CloudFormation 只能存取 Amazon EC2 動作。
您使用 IAM 服務建立服務角色及其許可政策。如需有關建立服務角色的詳細資訊,請參閱《IAM 使用者指南》中的建立角色以將許可委派給 AWS 服務。指定 CloudFormation (cloudformation.amazonaws.com) 做為可擔任該角色的服務。
若要建立服務角色與堆疊的關聯,請在您建立堆疊時指定角色。如需詳細資訊,請參閱 設定堆疊選項。您也可以在更新主控台中的堆疊時變更服務角色,或透過 API DeleteStack 堆疊。在您指定服務角色之前,請確保您有傳遞許可 (iam:PassRole)。iam:PassRole 許可會指定您可使用哪些角色。如需詳細資訊,請參閱《IAM 使用者指南》中的授予使用者將角色傳遞至 AWS 服務的許可。
重要
當您指定某個服務角色時,CloudFormation 一律使用該角色處理在該堆疊上執行的所有操作。建立堆疊後,就無法移除連接至堆疊的服務角色。其他具有在此堆疊上執行這些操作之許可的使用者,都能夠使用此角色,不論這些使用者是否有有 iam:PassRole 許可。如果該角色包含使用者不該有的許可,您可能在無意中提升使用者的許可。確定該角色授予最低權限。如需詳細資訊,請參閱《IAM 使用者指南》中的套用最低權限許可。
