CloudFormationRôle de service

Un rôle de service est un rôle AWS Identity and Access Management (IAM) qui permet à CloudFormation d’effectuer des appels vers les ressources d’une pile en votre nom. Vous pouvez spécifier un rôle IAM qui autorise CloudFormation à créer, mettre à jour ou supprimer les ressources de votre pile. Par défaut, CloudFormation utilise une session temporaire qu’il génère à partir de vos informations d’identification utilisateur pour les opérations de pile. Si vous spécifiez un rôle de service, CloudFormation utilise les informations d’identification du rôle.

Utilisez un rôle de service pour spécifier explicitement les actions que CloudFormation peut effectuer, qui ne correspondent pas nécessairement aux actions que vous-même ou d’autres utilisateurs pouvez effectuer. Par exemple, vous pouvez disposer de privilèges administratifs, mais limiter l’accès de CloudFormation aux seules actions Amazon EC2.

Le rôle de service et sa politique d'autorisation sont créés à partir du service IAM. Pour plus d’informations sur la création d’un rôle de service, consultez Créer un rôle pour déléguer des autorisations à un service AWS dans le Guide de l’utilisateur IAM. Spécifiez CloudFormation (cloudformation.amazonaws.com) comme service pouvant assumer le rôle.

Pour associer un rôle de service à une pile, spécifiez le rôle au moment où vous créez la pile. Pour en savoir plus, consultez Configuration des options de pile. Vous pouvez également modifier le rôle de service lorsque vous mettez à jour la pile dans la console ou DeleteStack la pile via l’API. Avant de spécifier un rôle de service, vérifiez que vous êtes autorisé à le transmettre (iam:PassRole). L'autorisation iam:PassRole indique les rôles que vous pouvez utiliser. Pour plus d’informations, consultez Accorder à un utilisateur les autorisations nécessaires pour transmettre un rôle à un service AWS dans le Guide de l’utilisateur IAM.