>我有一个附加到角色的现有 IAM 策略。每次在密钥管理器中创建新密钥时,我都需要将新 ARN 附加到策略中。这可以用Terraform完成吗?我已经设法将策略导入 terraform.state 文件,但我不知道如何: 1( 在"资源"列表中追加新的 ARN 2( 将更改推送到 AWS
这是策略现在的样子:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": [
"SECRET_ARN_1",
"SECRET_ARN_2",
"SECRET_ARN_3"
]
},
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "KMS_ARN"
}
]
}
这就是我需要它的外观:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": [
"SECRET_ARN_1",
"SECRET_ARN_2",
"SECRET_ARN_3",
"MY_BRAND_NEW_SECRET_ARN"
]
},
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "KMS_ARN"
}
]
}
以下导入是通过将现有策略导入对象 aws_iam_policy.mysimplepolicy 来工作的,但我不知道如何从这里开始。
terraform import aws_iam_policy.mysimplepolicy <MY_POLICY_ARN>
听起来您已经弄清楚如何将策略导入您的状态。现在,您需要在 Terraform 代码中定义资源,使其与策略匹配。
首先,为 ARN 定义变量:
variable "secret_arns" {
description = "A list of secret manager ARNs that the IAM policy should permit access to."
type = list(string)
}
variable "kms_key_arns" {
description = "A list of KMS Key ARNs that the IAM policy should permit access to."
type = list(string)
}
接下来,使用以下变量将策略文档定义为数据源:
data "aws_iam_policy_document" "secret_access" {
statement {
sid = "SecretsAccess"
actions = ["secretsmanager:GetSecretValue"]
resources = var.secret_arns
effect = "Allow"
}
statement {
sid = "KMSAccess"
actions = "kms:Decrypt"
resources = var.kms_key_arns
effect = "Allow"
}
}
现在使用数据源创建策略:
resource "aws_iam_policy" "mysimplepolicy" {
name = "MySimplePolicy" # Make sure this has the name you want
policy = data.aws_iam_policy_document.secret_access.json
}
最后,当您调用代码时,使用您喜欢的任何方法在变量中传入 ARN。它可以来自terraform.tfvars文件或使用-var语法在命令行上,也可以作为创建机密的另一个 Terraform 模块的输出。例如:
terraform apply -var='secret_arns=["arn1", "arn2", <etc>]' -var='kms_key_arns=["key-arn1", "key-arn2"]'
每次将新项目附加到其中一个变量并运行terraform apply时,Terraform 都会相应地更新策略。
另一个可能更简单的选择是使用基于标签的授权。也就是说,修改策略以仅授予对具有特定标签的密钥的访问权限,然后在创建密钥时添加该标记。还有执行此操作的示例文档。