amazon-iam - Terraform - assume_role_policy - 与标准 IAM 策略相似但略有不同

Question

本页https://www.terraform.io/docs/providers/aws/r/iam_role.html提到:

NOTE: This assume_role_policy is very similar but slightly different than just a standard IAM policy and cannot use an aws_iam_policy resource. It can however, use an aws_iam_policy_document data source, see example below for how this could work.

assume_role_policy 有什么原因吗？不同于 standard IAM policy ?

有什么理由吗？

Answer 1

代入角色策略是与控制哪些委托(delegate)人(用户、其他角色、AWS 服务等)可以“代入”该角色的角色相关联的特殊策略。承担角色意味着生成临时凭证以使用与该角色关联的访问策略授予的权限。
代入角色策略在以下方面与正常策略不同:

它是角色本身的属性，而不是与角色关联的单独对象。每个角色只有一个承担角色策略。

唯一的Action在承担角色策略中具有任何意义的值为 sts:AssumeRole以及它的一些其他变体(在撰写本文时，sts:AssumeRoleWithSAML 和 sts:AssumeRoleWithWebIdentity)。这些是用于获取角色临时凭证的 API 操作。

正是这些差异中的第一个造成了 Terraform 文档中提到的差异:由于角色只有一个 IAM 策略，并且直接声明为角色的一部分，因此必须将其策略文档作为 aws_iam_role 的属性提供。资源。 aws_iam_policy_document数据源只是将其输入简单转换为 IAM JSON 策略文档格式，因此可用于生成 assume_role_policy 的值属性。
当 AWS 服务代表您调用另一个 API 服务时，它会在内部为您指定的角色获取临时凭证，然后它可以使用这些凭证来调用其他服务 API。正是由于这个原因，有必要创建角色并将它们分配给 AWS Lambda、EC2(通过实例配置文件)、Kinesis Firehose 等服务。

作为 an answer to another question 的一部分，我对此进行了更详细的描述。 ，其中给出了一些实际 IAM 角色的示例，假设角色策略和常规策略。