使用 Terraform 创建 AWS 服务角色

Question

我不知道如何使用 Terraform for AWS 配置角色策略。

第一件事：

$ terraform version
Terraform v0.12.0
+ provider.aws v2.18.0

现在我需要创建一个服务角色，据我了解，首先我需要使用aws_iam_role 创建角色并使用aws_iam_role_policy_attachment 附加 CodeDeploy 的 AWSCodeDeployRole 策略。

resource "aws_iam_role" "codedeploy_service_role" {
  name = "CodeDeployServiceRole"
}
resource "aws_iam_role_policy_attachment" "codedeploy_service_role_policy_attach" {
   role       = "${aws_iam_role.codedeploy_service_role.name}"
   policy_arn = "arn:aws:iam::aws:policy/service-role/AWSCodeDeployRole"
}

但它不起作用，因为 aws_iam_role 资源没有必填字段“assume_role_policy”。而“assume_role_policy”字段只接受 JSON 格式的策略字段。我不明白为什么在角色初始化期间不设置策略就无法创建角色。

Answer 1

更正我误读了您的问题：

您可以按如下方式创建 iam_policy：

data "aws_iam_policy" "codedeploy_service_policy" {
  arn = "arn:aws:iam::aws:policy/service-role/AWSCodeDeployRole"
}

然后在您的政策附件中：

resource "aws_iam_role_policy_attachment" "codedeploy_service_role_policy_attach" {
   role       = "${aws_iam_role.codedeploy_service_role.name}"
   policy_arn = "${data.aws_iam_policy.codedeploy_service_policy.arn}"
}

具有代入角色策略的 AWS iam 角色（具有信任关系） ** 在 AWS 中创建角色时，您必须提供信任关系（该特定角色将使用的服务）。

resource "aws_iam_role" "codedeploy_service_role" {
  name = "CodeDeployServiceRole"
  assume_role_policy = <<EOF
{
 "Version": "2012-10-17",
 "Statement": [
   {
     "Action": "sts:AssumeRole",
     "Principal": {
       "Service": "ec2.amazonaws.com"
     },
     "Effect": "Allow",
     "Sid": ""
   }
 ]
}
EOF
}