Terraform - AWS EC2 IAM角色

Question

希望使用AWS中的IAM角色来运行Terraform，删除访问/共享密钥等等。我做得对吗，有些地方有点奇怪。

所以我有我的aws_provider.tf

provider "aws" {
region = "${var.aws_region}"
  assume_role {
    role_arn     = "${var.aws_terraform_admin_role}"
  }
}

除非我实际给出运行Terraform的EC2实例，否则它将无法工作。

我是不是遗漏了什么，我在想AWS的角色和我的角色？Terraform不应该在没有分配EC2实例的情况下承担IAM角色吗？我是否需要更好地扮演另一个角色才能在角色之间进行切换？

还是应该这样？

谢谢

Answer 1

您的EC2实例需要一个实例角色，该实例角色赋予它承担要用于Terraform的角色的权限。例如：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement11111",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::11111111111:role/TerraformRole"
        }
    ]
}