我一直在使用带有 terraform 的访问/密钥来创建/管理我们在 AWS 中的基础设施。但是,我正在尝试改用 IAM 角色。我应该能够在我的帐户中使用一个角色并在另一个帐户中担任该角色,并且应该能够运行计划、应用等以在另一个帐户中构建基础设施。任何想法,请提出建议。
到目前为止,我正在使用 https://www.terraform.io/docs/providers/aws/ 进行测试,但由于某种原因,它对我不起作用或者说明我不清楚。
【问题讨论】:
标签: amazon-web-services amazon-iam terraform
获取您要担任的角色的完整 ARN。在您的提供者配置中,使用带有 ARN 的“assume_role”块:https://www.terraform.io/docs/providers/aws/index.html#assume_role
provider "aws"
region = "<whatever region>"
assume_role {
role_arn = "arn:aws:iam::ACCOUNT_ID:role/ROLE_NAME"
}
}
【讨论】:
我们使用非 terraform 脚本使用 IAM 角色设置我们的凭证并担任角色。(类似于 https://github.com/Integralist/Shell-Scripts/blob/master/aws-cli-assumerole.sh )对于与 okta 一起使用,我们使用 https://github.com/redventures/oktad
我们获得 tmp 凭证和令牌,将其保存在 ~/.aws/credentials 中作为各自的 dev/prod 等配置文件,然后将我们各自的 terraform 提供者配置指向如下:
provider "aws" {
region = "${var.region}"
shared_credentials_file = "${pathexpand("~/.aws/credentials")}"
profile = "${var.dev_profile}"
}
【讨论】: