我们正在与多个用户一起运行terraform。
我们希望管理应用于用户A的IAM策略,以便用户A可以执行terraform plan/apply,但用户B只能执行terraform plan。
在这种情况下,应向只允许执行terraform plan的IAM策略授予何种权限?
我很感激你的建议。
最简单的解决方案是:
-
为用户B创建附加arn:aws:iam::aws:policy/ReadOnlyAccess管理策略的用户。
-
为用户a创建一个附加arn:aws:iam::aws:policy/AdministratorAccess托管策略的用户。
Terraform通过这里描述的多种方式获取凭据来设置基础设施因此,当两个用户运行terraform代码时,他们可以使用各自的凭据(aws_access_key_id和aws_secret_access_key(来访问aws资源,这两个凭据具有不同的权限集。在您的情况下,一个用户的角色将附加一个只读策略,该策略可以运行terraform计划,但不能运行terraform应用程序,而另一个用户将具有对aws资源的必要读/写权限。