个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
34
4
我有一个 AWS 帐号列表,我想动态使用这些帐号来构建 AWS 策略。这是我的例子:
resource "aws_s3_bucket" "splunk-config-bucket" {
bucket = "${var.config_bucket_name}"
force_destroy = true
server_side_encryption_configuration {
rule {
apply_server_side_encryption_by_default {
kms_master_key_id = "${data.aws_kms_alias.kms_name.arn}"
sse_algorithm = "aws:kms"
}
}
}
tags = {
Product = "Splunk - AWS Config Logs"
Service = "Security"
}
lifecycle_rule {
id = "log"
enabled = true
prefix = "*"
transition {
days = 7
storage_class = "GLACIER"
}
expiration {
days = 14
}
}
policy = <<POLICY
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSConfigAclCheck20150319",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::${var.config_bucket_name}"
},
{
"Sid": "AWSConfigWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::${var.config_bucket_name}/AWSLogs/123456789/*”,
"arn:aws:s3:::${var.config_bucket_name}/AWSLogs/123456789/*",
"arn:aws:s3:::${var.config_bucket_name}/AWSLogs/123456789/*",
"arn:aws:s3:::${var.config_bucket_name}/AWSLogs/123456789/*",
"arn:aws:s3:::${var.config_bucket_name}/AWSLogs/123456789/*",
"arn:aws:s3:::${var.config_bucket_name}/AWSLogs/123456789/*",
"arn:aws:s3:::${var.config_bucket_name}/AWSLogs/123456789/*",
"arn:aws:s3:::${var.config_bucket_name}/AWSLogs/123456789/*",
"arn:aws:s3:::${var.config_bucket_name}/AWSLogs/123456789/*",
"arn:aws:s3:::${var.config_bucket_name}/AWSLogs/123456789/*"
],
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
POLICY
}
resource "aws_s3_bucket_notification" "configlogs_bucketnotification" {
bucket = "${var.config_bucket_name}"
queue {
queue_arn = "${aws_sqs_queue.splunk_configlogs_sqs_queue.arn}"
events = ["s3:ObjectCreated:*"]
}
}
我在 envs.json 文件中有一个帐号列表,它看起来像这样:
{
"accounts": [
"1234567890",
"0987654321",
"1029384756",
"6574839201",
"0192837465"
]
}
我正在尝试使用 AWS 帐号的动态列表生成策略。我们正试图摆脱硬编码帐号并将其从我们拥有的“集中配置”项目中提取出来。
这是我尝试过的:
变量.tf:
locals {
accounts = jsondecode(file("../configuration/envs.json")).accounts
}
配置.tf
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": ${jsonencode(formatlist("arn:aws:s3:::${var.config_bucket_name}/AWSLogs/%s/*", local.accounts))}
"Condition": {
当我运行“terraform plan”时,这会给我以下输出:
Error: "policy" contains an invalid JSON: invalid character '"' after object key:value pair
on central_config.tf line 2, in resource "aws_s3_bucket" "splunk-config-bucket":
2: resource "aws_s3_bucket" "splunk-config-bucket" {
我也试过这个:
变量.tf
locals {
accounts = jsondecode(file("../configuration/envs.json")).accounts
}
output "example" {
value = jsonencode(formatlist("arn:aws:s3:::${var.config_bucket_name}/AWS/AWSLogs/%s/*", local.accounts))
}
配置.tf
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": ${local.accounts.output.value}
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
这是我得到的输出:
Error: Unsupported attribute
on central_config.tf line 60, in resource "aws_s3_bucket" "splunk-config-bucket":
60: "Resource": ${local.accounts.output.value}
|----------------
| local.accounts is tuple with 35 elements
This value does not have any attributes.
谢谢,
最佳答案
您可以使用 file function 加载文件,然后通过使用 jsondecode 解码 JSON 提取您需要的帐户列表,然后选择 accounts 键。
举个例子:
locals {
accounts = jsondecode(file("accounts.json")).accounts
}
output example {
value = local.accounts
}
这将返回以下内容:
example = [
"1234567890",
"0987654321",
"1029384756",
"6574839201",
"0192837465",
]
如果您随后想将其放入您的政策中,您需要使用 formatlist function 将帐户列表传递为单个字符串格式:
output "example" {
value = formatlist("arn:aws:s3:::bucket_name/AWSLogs/%s/*", local.accounts)
}
这个输出:
example = [
"arn:aws:s3:::bucket_name/AWSLogs/1234567890/*",
"arn:aws:s3:::bucket_name/AWSLogs/0987654321/*",
"arn:aws:s3:::bucket_name/AWSLogs/1029384756/*",
"arn:aws:s3:::bucket_name/AWSLogs/6574839201/*",
"arn:aws:s3:::bucket_name/AWSLogs/0192837465/*",
]
如果您仔细观察,Terraform 在列表中使用尾随逗号,这是无效的 JSON,因此会为您的 IAM 策略创建无效的 JSON 结构。为了解决这个问题,我们可以使用 jsonencode 将其重新编码为 JSON:
output "example" {
value = jsonencode(formatlist("arn:aws:s3:::bucket_name/AWSLogs/%s/*", local.accounts))
}
然后输出:
example = ["arn:aws:s3:::bucket_name/AWSLogs/1234567890/*","arn:aws:s3:::bucket_name/AWSLogs/0987654321/*","arn:aws:s3:::bucket_name/AWSLogs/1029384756/*","arn:aws:s3:::bucket_name/AWSLogs/6574839201/*","arn:aws:s3:::bucket_name/AWSLogs/0192837465/*"]
没有尾随逗号。
综上所述,您可以像这样创建 IAM 策略:
locals {
accounts = jsondecode(file("accounts.json")).accounts
}
resource aws_iam_policy policy {
name = "example"
path = "/"
policy = <<EOF
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:PutObject"
],
"Effect": "Allow",
"Resource": ${jsonencode(formatlist("arn:aws:s3:::bucket_name/AWSLogs/%s/*", local.accounts))}
}
]
}
EOF
}
关于amazon-web-services - 从帐号的 JSON 数组构建 AWS IAM 策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58449155/
34
4
0
我在使用 gradle 构建一个特定应用程序时遇到问题。该应用程序可以用 eclipse 编译和构建,它在平板电脑上运行良好。当我尝试使用 Gradle 构建它时,“compileDebugJava”
我有一个 C 程序,是一位离开的开发人员留给我的。我试图弄清楚他到底在做什么,并将软件重新安排成更合乎逻辑的东西,这样我就可以更轻松地构建它。我正在使用 CMake 构建,而他使用的是 Make。 有
我刚开始阅读“Pro Spring MVC with web flow”,它附带了一个我想遵循的代码示例。 我要什么 - 我想像书中那样构建应用程序,使用 Gradle 有什么问题 - 我没用过 Gr
我希望有人已经这样做了。我正在尝试为我的一个 angular 2 项目在 teamcity 中建立一个连续的构建。在做了一些研究之后,我按照以下步骤操作: 构建步骤 1:为 teamcity 安装 j
我有一个旧的 ASP.Net 网站解决方案,看起来像: 当我在 Visual Studio 中构建解决方案时,我得到以下输出: ------ Build started: Project: C:\..
我使用 gulp-usref、gulp-if、gulp-uglify、gulp-csso 和 gulp-file-include 来构建我的应用程序。除了 HTML 保持原样外,构建中的一切都运行良好
我正在使用 ionic2 开发内部移动应用程序。我可以通过以下方式成功构建 ios: ionic build ios and ionic build ios --prod 但当我这样做时,它一直失败
我是一位经验丰富的 .NET/C# 开发人员,但对这里的几乎所有技术/库(包括 SQL/DB 工作)都是新手。 我正在开发一个具有 Azure/Entity Framework .NET 后端和可移植
我正在使用 VS 2008。我可以使用 IDE 成功编译我的解决方案。但是,当我尝试使用 devenv.com 构建它时,它失败并提示“错误:找不到项目输出组'(无法确定名称)的输出”。该组、其配置或
版本: ember.js 2.7,ember-data 2.7 ember-cli 2.9.1//同样适用于 ember-cli 2.7 node 6.9.1, npm 3.10.9//也适用于 no
我第一次修补 AzureDevops,设置一些 CI 任务。 我有一个公共(public)存储库(开源)和一个包含 3 个 F# 项目的解决方案(.sln)。该解决方案在 Windows/Mac/Li
目前 5.1.5 版本或 STLPort CVS 存储库似乎仍不支持 VS2008。如果有人已经完成了这项工作,那么如果可能的话,分享会很有用:) 同样,了解 VS2005 或 2008 x64 构建
我有一个 Python 2.7 项目,到目前为止一直使用 gfortran 和 MinGW 来构建扩展。我使用 MinGW,因为它似乎支持 Fortran 代码中的写入语句和可分配数组,而 MSVC
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题? Update the question所以它是on-topic对于堆栈溢出。 9年前关闭。 Improve this que
我想知道为什么在 Zimbra Wiki 中只列出了构建过程的特定平台。这意味着不可能在其他 Linux 发行版上构建 Zimbra? Zimbra 社区选择一个特殊的 Linux 发行版来构建 Zi
我将在 Swift 中构建一个 CLI 工具。我用这个命令创建了项目 swift package init --type executable当我构建我的项目并解析 时读取别名 Xcode 中的参数并
我想为添加到 docker 镜像的文件设置文件权限。我有这个简单的 Dockerfile: FROM ubuntu:utopic WORKDIR /app RUN groupadd -g 1000 b
当我使用 clBuildProgram在我的 OpenCl 代码中,它失败并显示错误代码 -11,没有任何日志信息。 这是我的代码的样子: ret = clBuildProgram(program
我有一个底部导航栏,它有一个列表页面,该页面使用状态块。 class _MainPageState extends State { int _index = 0; @override Wi
我在本地计算机上使用Jenkins(Jenkins URL未通过Internet公开,但该计算机上已启用Internet。) 我进行了以下配置更改: 在Jenkins工具上安装了Git和Github插
我是一名优秀的程序员,十分优秀!