Amazon web services 试图将地形国家集中起来,并将角色和政策弄得非常混乱
我有8个AWS账户,我正在迁移到terraform'd。将现有资源导入状态文件、完成定义直到计划为空的缓慢过程。长篇大论,但这是一个有效的过程 推荐的做法之一是将状态文件保留在回购之外,因此我将状态保存在S3中(使用DynamoDB中的锁) 在本地,通过为所有帐户设置我的Amazon web services 试图将地形国家集中起来,并将角色和政策弄得非常混乱,amazon-web-services,terraform,terraform-provider-aws,Amazon Web Services,Terraform,Terraform Provider Aws,我有8个AWS账户,我正在迁移到terraform'd。将现有资源导入状态文件、完成定义直到计划为空的缓慢过程。长篇大论,但这是一个有效的过程 推荐的做法之一是将状态文件保留在回购之外,因此我将状态保存在S3中(使用DynamoDB中的锁) 在本地,通过为所有帐户设置我的~/.aws/credentials文件,我可以在本地运行terraform,所有状态都进入bucket。但这是因为我在backend.tf文件中使用了profile=“management” 我想将地形形成转移到我们的管道中,
~/.aws/credentialsprofile=“management”~/.aws/credentialsterraform {
backend "s3" {
bucket = "management-state-bucket"
acl = "private"
encrypt = true
region = "eu-west-1"
dynamodb_table = "terraform_locks"
key = "devops.tfstate"
profile = "management"
}
~/.aws/credentialsaws\u ACCESS\u KEY=akain。。。AWS\u密码\u访问\u密钥=。。。AWS_DEFAULT_REGION=eu-west-1地形…TF_LOG=trace2020/04/07 10:40:07[INFO]AWS身份验证提供程序已使用:“EnvProvider” access_key = "AKIAJ5..."
secret_key = "..."
role_arn = "arn:aws:iam::5[SNIPPED]:role/Terraforming"
任何帮助都将不胜感激。我的解决方案基于根帐户不能承担角色的新知识 因此,管理帐户需要一个用户(Terraformer)。此用户有一个策略,允许其担任OrganizationAccountAccessRole的devops角色,以及访问管理帐户中与状态相关的资源 此用户用于将terraform应用于非管理帐户
这对我来说简单多了。我的解决方案基于根帐户不能承担角色的新知识 因此,管理帐户需要一个用户(Terraformer)。此用户有一个策略,允许其担任OrganizationAccountAccessRole的devops角色,以及访问管理帐户中与状态相关的资源 此用户用于将terraform应用于非管理帐户 对我来说简单多了
role_arn = "arn:aws:iam::5[SNIPPED]:role/Terraforming"
2020/04/07 11:31:20 [INFO] AWS Auth provider used: "EnvProvider"
2020/04/07 11:31:20 [INFO] Attempting to AssumeRole arn:aws:iam::5[SNIPPED]:role/Terraforming (SessionName: "", ExternalId: "", Policy: "")
Error: The role "arn:aws:iam::5[SNIPPED]:role/Terraforming" cannot be assumed.
There are a number of possible causes of this - the most common are:
* The credentials used in order to assume the role are invalid
* The credentials do not have appropriate permission to assume the role
* The role ARN is not valid