5

我想将 AWS Assume Roles 与 Terraform Cloud / Enterprise 一起使用

在 Terraform Open Source 中,您通常只需执行 Assume Role,利用 CLI 上的 .aws/Credential Profile(初始身份验证)并执行 Assume Role:

provider "aws" {
  assume_role {
    role_arn     = "arn:aws:iam::ACCOUNT_ID:role/ROLE_NAME"
    session_name = "SESSION_NAME"
    external_id  = "EXTERNAL_ID"
  }
}

问题是,对于 Terraform Enterprise 或 Cloud,您无法引用配置文件,因为不可变的基础架构不会在其目录中包含该文件。

Terraform Cloud/Enterprise 需要将访问密钥 ID 和秘密访问密钥设置为变量,以便其基础设施可以通过其管道执行 Terraform RUN,并对您想要在其中预置的任何 AWS 账户进行身份验证。

所以问题是:如何利用 AWS 账户的访问密钥 ID 和秘密访问密钥执行 AWS 担任角色,并使用“操作”:“sts:AssumeRole”,策略?

我认为,以下方法可行,但是 Terraform 正在通过 AWS 凭据配置文件凭据为具有 sts:AssumeRole 策略的帐户进行初始身份验证

Terraform 是否可以查看 access_key 和 secret_key 来确定在尝试担任角色时要使用的 AWS 账户,而不是使用 AWS 凭证配置文件?

provider "aws" {
  region                  = var.aws_region
  access_key              = var.access_key_id
  secret_key              = var.secret_access_key

    assume_role {
    role_arn     = "arn:aws:iam::566264069176:role/RemoteAdmin"
    #role_arn     = "arn:aws:iam::<awsaccount>:role/<rolename>" # Do a replace in "file_update_automation.ps1"
    session_name = "RemoteAdminRole"
  }
}

为了允许 Terraform Cloud/Enterprise 获得新的 Assume Role 会话令牌,它需要使用 Access_key 和 Secret_key,告诉它哪个 AWS 账户具有 sts:assume 角色,链接到要预置的成员 AWS 账户,以及不是 AWS 信用档案

谢谢

4

2 回答 2

0

我使用完全相同的提供程序配置减去显式添加访问密钥。访问密钥已作为环境变量添加到 Terraform Cloud 工作区中。

于 2022-01-18T11:34:48.907 回答
0

如果您启用了商业计划并在您的基础设施中实施自托管的 terraform 代理,则可以实现这一点。请参阅视频

于 2022-01-20T14:57:19.893 回答