как установить существующую роль IAM в новый экземпляр при вращении в terraform

Question

Я пытаюсь прикрепить существующую роль, созданную в AWS, но не могу добавить ее в Terraform Code. Я пытался добавить роль в профиле экземпляра, но у меня она не сработала.

Есть ли прямой способ добавить его в ресурс в коде terraform .??

iam_instance_profile  = "my-role"

my-role имеет полный доступ к ec2.

Answer 1

Я следил за процессом, который @helloV упомянул в предыдущем посте для использования существующей роли в terraform / cfn.

Шаг 1: создайте новую пользовательскую политику и добавьте следующий контент.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "iam:GetRole",
            "iam:PassRole"
        ],
        "Resource": "arn:aws:iam::<account-id>:role/<role-name>"
    }]
}

В приведенном выше фрагменте json измените идентификатор учетной записи и имя-роли соответственно.

Шаг 2:

Присоедините новую созданную пользовательскую политику к существующей роли IAM.

Answer 2

iam_instance_profile  = "my-role"

- это правильный способ назначения профиля экземпляра IAM для экземпляра. Вероятно, у вас нет прав для назначения профиля экземпляра. Убедитесь, что тот, кто запускает скрипт Terraform, имеет разрешение iam:PassRole. Это часто упускается из виду.

См .: Предоставление пользователю прав на передачу роли