Cómo crear un rol de IAM en AWS usando Terraform

Cómo crear un rol de IAM en AWS usando Terraform

En este artículo veremos cómo crear un rol de IAM. Antes de continuar, supongo que está familiarizado con los conceptos básicos de Terraform y AWS IAM Roles. Si desea obtener más información sobre los roles de IAM, haga clic aquí. En este artículo crearemos un rol y le asignaremos permisos de administrador.

Requisitos previos

  1. Comprensión básica de Terraform.
  2. Terraform instalado en su sistema.
  3. Cuenta AWS (Crear si no tienes uno).
  4. ‘access_key’ y ‘secret_key’ de un usuario de AWS IAM. (Haga clic aqu√≠ para obtener informaci√≥n sobre c√≥mo crear un usuario de IAM con ‘access_key’ y ‘secret_key’ en AWS)

Lo que haremos

  1. Escriba archivos de configuración de Terraform para crear un rol de IAM.
  2. Cree un rol de IAM utilizando los archivos de configuración de Terraform.
  3. Elimine el rol de IAM creado mediante Terraform.

Escribir archivos de configuración de Terraform para el rol de IAM

Cree un directorio dedicado donde pueda crear archivos de configuración de terraformación.

Use el siguiente comando para crear un directorio y cambiar su directorio de trabajo actual a él.

mkdir terraformar
cd terraform/

Estoy usando ¬ęvim¬Ľ como editor para escribir en archivos, puede usar un editor de su elecci√≥n y copiar y pegar las siguientes configuraciones para crear variables.tf, terraform.tfvars y main.tf

Cree ‘main.tf’ que es responsable de crear un rol de IAM en AWS. Este main.tf leer√° valores de variables de variables.tf y terraform.tfvars.

vim principal.tf

provider "aws" {
      region     = "${var.region}"
      access_key = "${var.access_key}"
      secret_key = "${var.secret_key}"
}
data "aws_iam_policy_document" "cross_account_assume_role_policy" {
  statement {
    effect = "Allow"

    principals {
      type        = "AWS"
      identifiers = var.principal_arns
    }

    actions = ["sts:AssumeRole"]
  }
}

resource "aws_iam_role" "cross_account_assume_role" {
  name               = var.name
  assume_role_policy = data.aws_iam_policy_document.cross_account_assume_role_policy.json
}

resource "aws_iam_role_policy_attachment" "cross_account_assume_role" {
  count = length(var.policy_arns)

  role       = aws_iam_role.cross_account_assume_role.name
  policy_arn = element(var.policy_arns, count.index)
}

Significado de los argumentos utilizados en la configuración anterior:

  • asumir_role_policy: (obligatorio) la pol√≠tica que otorga a una entidad permiso para asumir el rol.
  • policy_arn (obligatorio): el ARN de la pol√≠tica que desea aplicar

Cree ‘variables.tf’ que contiene la declaraci√≥n y definici√≥n de las variables.

Aquí,

La variable ¬ęprincipal_arns¬Ľ contiene el n√ļmero de cuenta de AWS que se le permitir√° asumir este rol. Incluso puede pasar una lista de n√ļmeros de cuenta aqu√≠.

La variable ¬ępolicy_arns¬Ľ contiene el ARN de la pol√≠tica que debemos adjuntar al rol que crearemos. Incluso puede pasar una lista de ARN de pol√≠tica aqu√≠.

vim variables.tf

variable "access_key" {
     description = "Access key to AWS console"
}
variable "secret_key" {
     description = "Secret key to AWS console"
}
variable "region" {
     description = "Region of AWS VPC"
}
variable "name" {
  default = "myrole"
  type        = "string"
  description = "The name of the role. "
}
variable "principal_arns" {
  default = ["123456789012"]
  type        = list(string)
  description = "ARNs of accounts, groups, or users with the ability to assume this role."
}

variable "policy_arns" {
  default = ["arn:aws:iam::aws:policy/AdministratorAccess"]
  type        = list(string)
  description = "List of ARNs of policies to be associated with the created IAM role"
}

Una vez que haya creado ‘variables.tf’, no olvide cambiar los valores asignados a las variables. Debe cambiar los valores resaltados ya que son espec√≠ficos de mi entorno. Puede mantener el resto de variables como est√°n. Si no desea asignar el acceso de administrador al rol que est√° creando, puede cambiarlo definiendo el ARN de la pol√≠tica de su elecci√≥n.

Cree ‘terraform.tfvars’ que contiene la definici√≥n de las variables access_key y secret_key definidas en el archivo anterior. Hemos mantenido la declaraci√≥n de estas 2 variables en el archivo ‘terraform.tfvars’ junto con la regi√≥n.

Para crear un rol de IAM, no necesitamos específicamente una región en particular, solo mantuve esta variable aquí para que pueda comprender esta variable de región y pueda usarla en sus otros archivos de creación de recursos.

Las siguientes claves deben cambiarse con las claves de su usuario de IAM. Antes de especificar estas claves, debe crearlas desde la consola de AWS y no compartir estas claves con nadie.

vim terraform.tfvars

region = "eu-west-3"
access_key = "AKIAQ6GAIA5XFLXF6HOV"
secret_key = "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"

Ahora, debe tener 3 archivos, a saber, variables.tf, terraform.tfvars y main.tfAdvertisement

Cree un rol de IAM utilizando los archivos de configuración de Terraform

Antes de ejecutar los siguientes comandos, aseg√ļrese de haber configurado access_key y secret_key v√°lidos.

El primer comando que se utilizar√° es ‘terraform init’. Este comando descarga e instala complementos para proveedores utilizados dentro de la configuraci√≥n. En nuestro caso es AWS.

inicio de terraformación

El segundo comando que se utilizar√° es ‘plan de terraformaci√≥n’. Este comando se utiliza para ver los cambios que se producir√°n en la infraestructura.

plan de terraformación

El comando ‘terraform apply’ crear√° los recursos en AWS mencionados en el archivo main.tf. Se le pedir√° que proporcione su entrada para crear los recursos.

Aplicar terraformación

Cuando ejecuta el comando anterior, al completarlo con éxito, puede ver que se ha agregado un nuevo recurso y 0 se ha destruido.

Puede ir a la consola de AWS IAM en Rol para verificar si el Rol de IAM est√° creado o no.

Elimine el rol de IAM creado usando Terraform

Si ya no necesita los recursos que cre√≥ usando la configuraci√≥n mencionada en el archivo main.tf, puede usar el comando ¬ęterraform destroy¬Ľ para eliminar todos esos recursos.

terraformar destruir

Conclusión

En este artículo vimos los pasos para crear un rol de IAM con privilegios de administrador. También vimos cómo se puede eliminar el rol de IAM en un solo comando.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *