# Função de serviço do CloudFormation Um *perfil de serviço* é um perfil do AWS Identity and Access Management (IAM) que permite que o CloudFormation faça chamadas a recursos em uma pilha em seu nome. Você pode especificar um perfil do IAM que permita que o CloudFormation crie, atualize ou exclua seus recursos da pilha. Por padrão, o CloudFormation usa uma sessão temporária que ele gera a partir de suas credenciais de usuário para operações de pilha. Se você especificar uma função de serviço, o CloudFormation usará as credenciais da função. Use uma função de serviço para especificar explicitamente as ações que o CloudFormation pode realizar, que podem nem sempre ser sempre as mesmas ações que você ou outros usuários podem realizar. Por exemplo, você pode ter privilégios administrativos, mas pode limitar o acesso do CloudFormation a apenas ações do Amazon EC2. Você cria o perfil de serviço e a respectiva política de permissão com o serviço do IAM. Para obter mais informações sobre a criação de um perfil de serviço, consulte [Criar um perfil para delegar permissões a um serviço da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*. Especifique o CloudFormation (`cloudformation.amazonaws.com`) como o serviço que pode assumir a função. Para associar uma função de serviço a uma pilha, especifique a função ao criar a pilha. Para obter detalhes, consulte [Configurar opções da pilha](cfn-console-create-stack.md#configure-stack-options). Você também pode alterar o perfil de serviço ao atualizar a pilha no console ou [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStack.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeleteStack.html) a pilha via API. Antes de especificar um perfil de serviço, certifique-se de ter permissão para aprová-la (`iam:PassRole`). A permissão `iam:PassRole` especifica quais perfis você pode usar. Para obter mais informações, consulte [Conceder permissões ao usuário para passar um perfil para um serviço da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) no *Guia do usuário do IAM*. **Importante** Quando você especifica uma função de serviço, o CloudFormation sempre usa essa função para todas as operações que serão executadas nessa pilha. Não é possível remover uma função de serviço associada a uma pilha depois que ela é criada. Outros usuários com permissão para executar operações nessa pilha podem usar esse perfil, independentemente de terem a permissão `iam:PassRole` ou não. Se o perfil inclui permissões que o usuário não precisa, você pode ampliar involuntariamente as permissões de um usuário. Certifique-se de que a função concede o menor privilégio. Para obter mais informações, consulte [Aplicar permissões de privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege), no *Guia do usuário do IAM*.