Как установить существующую роль IAM для нового экземпляра при вращении в терраформе
Я пытаюсь присоединить существующую роль, созданную в AWS, но не могу добавить ее в Terraform Code. Я попытался добавить роль в профиль экземпляра, но у меня это не сработало.
Есть ли какой-либо прямой способ добавить его в ресурс в коде терраформирования. ??
iam_instance_profile = "my-role"
my-role имеет полный доступ к ec2.
Ответы 2
iam_instance_profile = "my-role"
- это правильный способ присвоить экземпляру профиль экземпляра IAM. Вероятно, у вас нет прав для назначения профиля экземпляра. Убедитесь, что у того, кто запускает сценарий Terraform, есть разрешение iam:PassRole. Это часто упускается из виду.
См .: Предоставление пользователю разрешений на передачу роли
Я следил за процессом, который @helloV упомянул в предыдущем посте, для использования существующей роли в terraform / cfn.
Шаг 1. Создайте новую настраиваемую политику и добавьте следующий контент.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::<account-id>:role/<role-name>"
}]
}
В приведенном выше фрагменте json измените account-id и имя-роль соответственно.
Шаг 2:
Присоедините новую созданную настраиваемую политику к существующей роли IAM.
отлично работает после создания настраиваемой политики. Я пропустил разрешение. Спасибо @helloV