Terraform - AWS交叉帐户中的数据资源访问

Question

我编写了一个terraform脚本，并希望使用data resource获取Kafka MSK相关资源，例如Kafka集群ARN、Kafka主题ARN。

例如-

data "aws_s3_bucket" "content_bucket" {
  bucket = "nameof-bucket-from-another-account"
}

我想知道terraform是否支持跨AWS账户获得这样的资源？

我搜索了一下，但没有找到任何关于它的东西。

Answer 1

Terraform本身并不关心或不了解帐户。

AWS提供程序是否支持这一点取决于实际资源：

• 它适用于S3桶，因为桶不是帐户作用域，而是具有全局ARN，因此名称基本上足以解决跨帐户的问题。
• 例如，如果指定完整的ARN，则KMS键工作
• 例如，IAM角色不能工作，因为它们根本不支持跨帐户访问

即使对于本身不支持跨帐户访问的资源，您也可以使用具有不同帐户信任的多个AWS提供程序的terraform配置。

显然，只有执行terraform的实体具有适当的IAM权限，才能检索目标信息/访问目标资源。

Answer 2

我不知道是否有用，我从未尝试过这样的方法，但我认为您可以使用“假设角色”从AWS帐户访问另一个帐户。

通过这种方式，您可以使用别名在Terraform中设置另一个提供程序，并在数据源中使用它。

provider "aws" {
  region     = var.aws_default_region
  access_key = var.aws_access_key_id
  secret_key = var.aws_secret_access_key

}

provider "aws" {
  alias      = "second_account"
  region     = var.aws_default_region
  access_key = var.aws_access_key_id
  secret_key = var.aws_secret_access_key

  assume_role {
    role_arn = var.account_role_arn
  }
}

data "aws_s3_bucket" "content_bucket" {
  provider = aws.second_account
  bucket = "nameof-bucket-from-another-account"
}

我不确定是否可以在数据源中使用提供者别名，如果您试图让我随时更新，我会编辑响应。

Answer 3

    # only access inside organization account only  
      # account-1
        provider "aws" {
          
          region = "us-east-1"
          assume_role {
            role_arn="arn:aws:iam::***********:role/role" //paste from 2nd account role arn
          }
        }
# 1st account credentials only dot not use other credentials
    [default]
    access_key = "*********"
    secret_key = "*********"