Terraform - AWS автоматически сгенерированная роль IAM

Question

Я использую Terraform для создания инфраструктуры наших приложений, она была выполнена из контейнера. В начале я прикрепил роль IAM (AWS), которая в основном предоставляет контейнеру права администратора (что, я знаю, является ошибкой).

Теперь мне нужно создать роль, минимальную для существующее состояние. У меня много услуг и ресурсов в этом плане terraform.

Существует ли инструмент, который может прочитать состояние или план и создать список необходимых политик IAM? Или какой самый лучший / самый простой подход для решения такой задачи?

* Я использую рабочие пространства для разных сред, поэтому, вероятно, мне потребуется разная роль для каждой рабочей области.

Answer 1

Я не могу говорить об эффективности этих инструментов, но я решил поделиться ими. Стоит также отметить, что в настоящее время они могут не поддерживаться или не обновляться.

• terraform-policymaker содержит сопоставления того, что AWS вызывает API сделаны из каждого ресурса. Затем он сканирует вашу терраформу и генерирует политику политики с наименьшими привилегиями. Кажется очень полезным, мне интересно, почему он не так популярен.

• terraform- aws -permissions-generator использует другой подход. Вы запускаете его в фиктивной учетной записи, и он отслеживает все звонки, сделанные на AWS. Он уничтожает все ресурсы и генерирует политику с точными выполненными операциями. Большой недостаток, который я вижу здесь, заключается в том, что он может не учитывать операции обновления (поскольку он просто создает, а затем уничтожает).

Используйте на свой страх и риск, особенно генератор разрешений.