我正在尝试根据 IAM 角色是否存在来设置 KMS 密钥策略。yaml 文件如下所示。
data "aws_iam_policy_document" "key_policy" {
statement {
sid = "Give Access to the my Role"
actions = [
"kms:GenerateDateKey",
"kms:Decrypt"
]
resources = ["*"]
principals {
type = "AWS"
identifiers = ["arn:aws:iam::${var.account_id}:role/myrole"]
}
}
}
这个 terraform 脚本的问题是,如果myrole我的帐户中不存在它会失败。我们有多个 AWS 账户,其中只有一部分有这个myrole。我们的 CI 将为所有帐户运行相同的脚本。有没有办法仅在myrole存在时应用此语句?
terraform (TF) 的设计原则规定当前的 TF 配置文件应明确定义您的基础架构。这意味着定义您的解决方案的资源仅由给定的配置文件和当前 TF 状态管理。如果某些资源不处于 TF 状态,则它只是被认为超出了 TF 的范围并且不存在。
因此,TF不直接支持检查任何资源是否存在,也不支持基于这些条件有条件地创建资源。这会导致问题,因为您的 TF 不能完全代表您的架构。
因此,TF 文档推荐:
我们建议应用依赖反转方法:让模块通过输入变量接受它需要的对象作为参数,而不是尝试编写一个自身尝试检测是否存在并在不存在时创建它的模块。
基于上述内容,您应该致力于开发您的aws_iam_policy_document.key_policy,以便它根据输入变量statement创建有问题的。这意味着您的 CICD 管道必须检查角色的存在并将此信息作为输入变量传递到您的 CF 文件,例如with和values。my_role_existstruefalse
然后,您可以使用动态块来设置statement条件:
data "aws_iam_policy_document" "key_policy" {
dynamic "statement" {
for_each = var.my_role_exists == true ? [1] : []
content {
sid = "Give Access to the my Role"
actions = [
"kms:GenerateDateKey",
"kms:Decrypt"
]
resources = ["*"]
principals {
type = "AWS"
identifiers = ["arn:aws:iam::${var.account_id}:role/myrole"]
}
}
}
}