本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # CloudFormation 服務角色 *服務角色*是 AWS Identity and Access Management (IAM) 角色,可讓 CloudFormation 代表您呼叫堆疊中的資源。您可以指定 IAM 角色,讓 CloudFormation 建立、更新或刪除您的堆疊資源。根據預設,CloudFormation 會使用從您的堆疊操作使用者登入資料所產生的暫時工作階段。如果您指定服務角色,CloudFormation 就會使用角色的登入資料。 使用服務角色明確指定 CloudFormation 可以執行的動作,但不一定是您或其他使用者可以執行的相同動作。例如,您可能有管理權限,但您可以限制 CloudFormation 只能存取 Amazon EC2 動作。 您使用 IAM 服務建立服務角色及其許可政策。如需建立服務角色的詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。指定 CloudFormation (`cloudformation.amazonaws.com`) 做為可擔任該角色的服務。 若要建立服務角色與堆疊的關聯,請在您建立堆疊時指定角色。如需詳細資訊,請參閱[設定堆疊選項](cfn-console-create-stack.md#configure-stack-options)。您也可以在更新主控台中的堆疊時變更服務角色,或透過 API [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStack.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStack.html) 堆疊。在您指定服務角色之前,請確保您有傳遞許可 (`iam:PassRole`)。`iam:PassRole` 許可會指定您可使用哪些角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[授予使用者將角色傳遞至 AWS 服務的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)。 **重要** 當您指定某個服務角色時,CloudFormation 一律使用該角色處理在該堆疊上執行的所有操作。建立堆疊後,就無法移除連接至堆疊的服務角色。其他具有在此堆疊上執行這些操作之許可的使用者,都能夠使用此角色,不論這些使用者是否有有 `iam:PassRole` 許可。如果該角色包含使用者不該有的許可,您可能在無意中提升使用者的許可。確定該角色授予最低權限。如需詳細資訊,請參閱《IAM 使用者指南》**中的[套用最低權限許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。