amazon-web-services - terraform:有没有办法动态创建 iam 策略声明？-6ren

amazon-web-services - terraform:有没有办法动态创建 iam 策略声明？

转载作者：行者123 更新时间：2023-12-03 16:11:12

25

4

地形版本:0.11

我正在运行多个 eks 集群并尝试按照此文档在所有集群中启用基于 IAM 角色的服务帐户:
https://www.terraform.io/docs/providers/aws/r/eks_cluster.html#enabling-iam-roles-for-service-accounts

当我在策略语句中对集群名称进行硬编码并创建多个语句时，这会起作用

data "aws_iam_policy_document" "example_assume_role_policy" {

# for cluster 1

  statement {
    actions = ["sts:AssumeRoleWithWebIdentity"]
    effect  = "Allow"

    condition {
      test     = "StringEquals"
      variable = "${replace(aws_iam_openid_connect_provider.example1.url, "https://", "")}:sub"
      values   = ["system:serviceaccount:kube-system:aws-node"]
    }

    principals {
      identifiers = ["${aws_iam_openid_connect_provider.example1.arn}"]
      type        = "Federated"
    }
  }
}

由于我有多个集群，我希望能够动态生成语句
所以我做了以下更改:

我创建了一个 count主体和条件中的变量和更改值

count = "${length(var.my_eks_cluster)}" 

    condition {
      test     = "StringEquals"
      variable = "${replace(element(aws_iam_openid_connect_provider.*.url, count.index), "https://", "")}:sub"
      values   = ["system:serviceaccount:kube-system:aws-node"]
    }

    principals {
      identifiers = ["${element(aws_iam_openid_connect_provider.*.url, count.index)}"]
      type        = "Federated"
    }

Terraform 现在能够找到集群，但也会生成多个策略。
这将不起作用，因为在以下语法中，假设角色策略不采用列表

resource "aws_iam_role" "example" {
  assume_role_policy = "${data.aws_iam_policy_document.example_assume_role_policy.*.json}"
  name               = "example"
}

似乎不是创建多个策略，我需要在一个策略中生成多个语句(以便我可以添加到一个 iam_role)。有没有人做过类似的事情？谢谢。

最佳答案

您只需要一个策略，因此不应使用 count你的政策中的论点。
你想要的是多个语句，像这样

data "aws_iam_policy_document" "example" {
  statement {
    # ...
  }
  statement {
    # ...
  }
}

现在您可以直接对其进行硬编码(也许这将是测试它是否有效的良好开端)。如果你想从一个变量动态生成它，你需要一个 dynamic -block 如下所述: https://www.terraform.io/docs/configuration/expressions.html

在你的情况下，这可能是

data "aws_iam_policy_document" "example" {
  dynamic "statement" {
    for_each = aws_iam_openid_connect_provider

    content {
      actions = ["sts:AssumeRoleWithWebIdentity"]
      effect  = "Allow"

      condition {
        test     = "StringEquals"
        variable = "${replace(statement.value.url, "https://", "")}:sub"
          values   = ["system:serviceaccount:kube-system:aws-node"]
      }

      principals {
        identifiers = ["${statement.value.arn}"]
        type        = "Federated"
      }      
    }
  }
}

不过，我认为“动态”仅自 TF 0.12 起才可用。

关于amazon-web-services - terraform:有没有办法动态创建 iam 策略声明？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/62184180/

25

4

0

文章推荐： android-studio - Android Studio 4.0中的AVD管理器在哪里

文章推荐： testing - 如何在 Godot 引擎中编写测试

.net - 有没有.Net云平台
就目前而言，这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持，但这个问题可能会引起辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visit the he
xcode - 有没有[转到文件...]？
在现代 IDE 中，有一个键盘快捷键可以通过键入文件名称来打开文件，而无需将手放在鼠标上。例如: Eclipse:Cmd|Ctrl + Shift + R -> 打开资源 IntelliJ:Cmd|C
c# - 有没有 "When"类型的东西？
有什么东西会等待事件发生(我正在等待的是 WebBrowser.DocumentCompleted)，然后执行代码吗？像这样: If (WebBrowser.DocumentCompleted) 不会
PHP 自动缩小。有没有？
我使用 PHP Minify，它很棒。但我的问题是，是否有任何 PHP 插件或其他东西可以自动检测 javascript/css 代码并自动缩小它？谢谢。最佳答案 Javascript 压缩器？看
windows - 有没有 'compiles'到windows批处理语法的脚本语言？
有没有一种语言，类似什么CoffeeScript是JavaScript，编译成windows batch|cmd|command line的语言？我指的cmd版本是基于NT的，尤其是XP sp3及以
ant - 有没有 Ant 任务可以复制不丢失权限
我知道我可以，但是，我真的宁愿有一个任务，我可以从任何可以使用所有(或至少大部分)属性的操作系统调用 copy ，但这并没有消除 unix 上的权限。我想知道是否已经有解决方案，或者我必须自己编
javascript - 有没有 jvectormap 的替代品
我正在使用 Vuejs(不使用 jQuery)开发一个项目，该项目需要像 jvectormap 这样的 map 但正如我所说，我没有使用 jQuery，那么是否有任何其他库可以在不使用 jQuery
jquery - 有没有 jQuery 投票插件？
想要进行一个简单的民意调查，甚至不需要基于 cookie，我不在乎投了多少票。有没有类似的插件或者简单的东西？最佳答案这是一个有用的教程 - 让我知道它是否适合您 using jQuery to
jquery - 有没有 jquery 下拉年份选择器
已结束。此问题正在寻求书籍、工具、软件库等的推荐。它不满足Stack Overflow guidelines 。目前不接受答案。我们不允许提出寻求书籍、工具、软件库等推荐的问题。您可以编辑问题，以便
iphone - 有没有 iPhone 友好的反馈服务
就目前情况而言，这个问题不太适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持，但这个问题可能会引发辩论、争论、民意调查或扩展讨论。如果您觉得这个问题可以改进并可能重新开放，visit
delphi - 有没有 "Pos"函数来查找字节？
var FileBuff: TBytes; Pattern: TBytes; begin FileBuff := filetobytes(filename); Result := Co
javascript - 有没有 "vqmod"允许多图片上传？
我想要一个 vqmod xml 文件来添加一次上传多个图像的功能。身边有这样的事吗？编辑:Opencart版本:2.1.0.1 最佳答案最后我写了一个xml来添加到opencart 2.1.0.1
java - 有没有 'clean' 方法来省略静态类型声明？
所以考虑这样的函数: public void setTemperature(double newTemperatureValue, TemperatureUnit unit) 其中Temperatur
arangodb - 有没有 arangoDB 的工具
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的，因为
r - 有没有 ggplot2 的美学表格或目录？
我是 ggplot2 的新手，一直在尝试找到一个全面的美学列表。我想我理解它们的目的，但很难知道哪些可以在各种情况下使用(主要是几何图形？)。 Hadley 的网站偶尔会在各个几何图形的页面上列出可用
php - 有没有 'fun'交互式主页的好例子？这里有关于创建此类交互性的教程吗？
就目前情况而言，这个问题不太适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持，但这个问题可能会引发辩论、争论、民意调查或扩展讨论。如果您觉得这个问题可以改进并可能重新开放，visit
javascript - 有没有 PHP 函数可以将数字转换为带有千位分隔符的货币？
是否有任何 PHP 函数可以将整数转换为十万和千万？ 900800 -> 9,00,800 500800 -> 5,00,800 最佳答案由于您已在问题标签中添加了 Yii，因此您可以按照 Yii
clojure - 有没有 Clojure 核心模块的惰性函数的完整列表？
使用 Clojure 一段时间后，我积累了一些关于它的惰性的知识。我知道诸如map之类的常用API是否是惰性的。然而，当我开始使用一个不熟悉的API(例如with-open)时，我仍然感到怀疑。是否
wpf - 有没有 AvalonDock 的更新替代品？
我的项目需要一个像 AvalonDock 这样的对接系统，但它的最后一次更新似乎是在 2013 年 6 月。是否有更多...积极开发的东西可以代替它？最佳答案 AvalonDock 实际上相当成熟并
clojure - 有没有 html 解析器来打嗝结构？
我正在寻找一个可以逆转 clojure 打嗝的函数所以 turns into [:html] 等等根据@kotarak的回答，这现在对我有用: (use 'net.cgrand.enliv

首页

博学

6Ren·AI

商城

amazon-web-services - terraform:有没有办法动态创建 iam 策略声明？