到目前为止我已经有了这个:
data "aws_iam_policy" "config_role" {
arn = "arn:aws:iam::aws:policy/service_role/AWSConfigRole"
}
但我不确定如何将其附加到组。
您可以使用
aws_iam_group_policy_attachment资源或aws_iam_policy_attachment资源将策略附加到组。
如aws_iam_policy_attachment资源文档中所述,此资源会将该策略独占附加到指定的用户、组和角色,并且通常不是您想要的,因此我推荐aws_iam_group_policy_attachment资源。
这可能看起来像这样:
resource "aws_iam_group" "aws_config_group" {
name = "AWSConfigGroup"
path = "/"
}
resource "aws_iam_group_policy_attachment" "aws_config_attach" {
group = "${aws_iam_group.aws_config_group.name}"
policy_arn = "arn:aws:iam::aws:policy/service_role/AWSConfigRole"
}
请注意,您实际上并不需要此处的aws_iam_policy数据源,因为您已经在构建要传递到数据源的 ARN,这就是aws_iam_group_policy_attachment资源所需的全部内容。
稍后
将其添加到文件中。
所以像
resource "aws_iam_group" "aws_config_group" {
name = "AWSConfigGroup"
path = "/"
}
resource "aws_iam_policy" "config_role" {
name = "AWSConfigRole"
arn = "arn:aws:iam::aws:policy/service_role/AWSConfigRole"
group = ['aws_config_group']
}