如何在本地执行程序中从terraform继承aws凭证

Question

如何在本地执行程序中从terraform继承aws凭证

3

我在terraform中有一个资源，需要在创建后运行AWS命令。但我希望它使用与terraform相同的AWS凭据运行。AWS提供程序使用配置文件作为profile，然后使用该profile来假定一个角色：

provider "aws" {
  profile = "terraform"
  assume_role {
    role_arn = local.my_arn
  }
}

我曾经希望terraform会暴露必要的环境变量，但事实似乎并非如此。那么最好的方法是什么？

- Thayne

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Carlo Mencarelli · Accepted Answer

你能通过AWS配置使用角色假设吗？文档：在AWS CLI中使用IAM角色

~/.aws/config:

[user1]
aws_access_key_id =  ACCESS_KEY
aws_secret_access_key = SECRET_KEY

[test-assume]
role_arn = arn:aws:iam::123456789012:role/test-assume
source_profile = user1

main.tf:

provider "aws" {
  profile = var.aws_profile
  version = "~> 2.0"
  region  = "us-east-1"
}

variable "aws_profile" {
  default = "test-assume"
}

resource "aws_instance" "instances" {
  ami           = "ami-009d6802948d06e52"
  instance_type = "t2.micro"
  subnet_id     = "subnet-002df68a36948517c"

  provisioner "local-exec" {
    command = "aws sts get-caller-identity --profile ${var.aws_profile}"
  }
}

如果你做不到，这里有一个非常混乱的方法。我不特别推荐这种方法，但它能够工作。这个方法依赖于 jq，但你也可以使用其他工具来解析 aws sts assume-role 命令的输出。

main.tf:

provider "aws" {
  profile = var.aws_profile
  version = "~> 2.0"
  region  = "us-east-1"
  assume_role {
    role_arn = var.assume_role
  }
}

variable "aws_profile" {
  default = "default"
}

variable "assume_role" {
  default = "arn:aws:iam::123456789012:role/test-assume"
}

resource "aws_instance" "instances" {
  ami           = "ami-009d6802948d06e52"
  instance_type = "t2.micro"
  subnet_id     = "subnet-002df68a36948517c"

  provisioner "local-exec" {
    command = "aws sts assume-role --role-arn ${var.assume_role} --role-session-name Testing --profile ${var.aws_profile} --output json > test.json && export AWS_ACCESS_KEY_ID=`jq -r '.Credentials.AccessKeyId' test.json` && export AWS_SECRET_ACCESS_KEY=`jq -r '.Credentials.SecretAccessKey' test.json` && export AWS_SESSION_TOKEN=`jq -r '.Credentials.SessionToken' test.json` && aws sts get-caller-identity && rm test.json && unset AWS_ACCESS_KEY_ID && unset AWS_SECRET_ACCESS_KEY && unset AWS_SESSION_TOKEN"
  } 
}