Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
CloudFormation-Servicerolle
Eine Service-Rolle ist eine AWS Identity and Access Management (IAM)-Rolle, die es CloudFormation ermöglicht, in Ihrem Namen Aufrufe an Ressourcen in einem Stack vorzunehmen. Sie können eine IAM-Rolle angeben, die es CloudFormation erlaubt, Ihre Stack-Ressourcen zu erstellen, zu aktualisieren oder zu löschen. Standardmäßig verwendet CloudFormation für Stack-Operationen eine temporäre Sitzung, die es aus Ihren Benutzeranmeldeinformationen erzeugt. Wenn Sie eine Service-Rolle angeben, verwendet CloudFormation die Anmeldedaten dieser Rolle.
Verwenden Sie eine Service-Rolle, um explizit die Aktionen festzulegen, die CloudFormation ausführen kann, was nicht immer dieselben Aktionen sein müssen, die Sie oder andere Benutzer ausführen können. So können Sie beispielsweise über administrative Rechte verfügen, aber den Zugriff auf CloudFormation nur auf Amazon EC2-Aktionen beschränken.
Sie erstellen die Service-Rolle und die Berechtigungsrichtlinie mit dem IAM-Service. Weitere Informationen zum Erstellen einer Dienstrolle finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst im IAM-Benutzerhandbuch. Geben Sie CloudFormation (cloudformation.amazonaws.com) als den Dienst an, der die Rolle übernehmen kann.
Um eine Service-Rolle einem Stack zuzuordnen, legen Sie die Rolle beim Erstellen des Stack fest. Details hierzu finden Sie unter Stapeloptionen konfigurieren. Sie können die Service-Rolle auch ändern, wenn Sie den Stack in der Konsole aktualisieren, oder DeleteStack den Stack über die API. Bevor Sie eine Service-Rolle festlegen, stellen Sie sicher, dass Sie über die Berechtigung zum Weiterleiten () verfügen. (iam:PassRole). Die iam:PassRole-Berechtigung gibt an, welche Rollen Sie verwenden können. Weitere Informationen finden Sie unter Erteilen Sie einem Benutzer die Berechtigung, eine Rolle an einen AWS Dienst weiterzugeben, im IAM-Benutzerhandbuch.
Wichtig
Wenn Sie eine Service-Rolle angeben, verwendet CloudFormation diese Rolle immer für alle Operationen, die auf diesem Stack ausgeführt werden. Es ist nicht möglich, eine Service-Rolle zu entfernen, die einem Stack zugewiesen ist, nachdem der Stack erstellt wurde. Andere Benutzer, die die Berechtigung haben, Operationen auf diesem Stapel durchzuführen, können diese Rolle verwenden, unabhängig davon, ob diese Benutzer die Berechtigung iam:PassRole haben oder nicht. Wenn die Rolle Berechtigungen umfasst, die der Benutzer nicht haben sollte, können Sie die Berechtigungen eines Benutzers versehentlich weiterleiten. Stellen Sie sicher, dass die Rolle die geringsten Rechte zugesteht. Weitere Informationen finden Sie unter Anwenden von Berechtigungen mit geringsten Berechtigungen im IAM-Benutzerhandbuch.
