Terraform - assume_role_policy -与标准IAM策略相似但略有不同

Terraform 是一种流行的基础设施即代码（IaC）工具，它允许你通过代码来定义和管理云资源。assume_role_policy 是 Terraform 中用于配置 AWS 身份和访问管理（IAM）角色信任策略的一个功能。这个策略定义了哪些实体（如 IAM 用户、组或服务）可以假设（即临时获取权限）该角色。

基础概念

IAM 角色：在 AWS 中，角色是一种允许一个 AWS 服务或其他实体代表你的账户来执行操作的实体。
Trust Policy：这是 IAM 角色的一个关键部分，它指定了哪些实体可以假设该角色。
assume_role_policy：在 Terraform 中，这是一个特定的资源类型，用于定义 IAM 角色的信任策略。

与标准 IAM 策略的相似之处与不同

相似之处：两者都使用 JSON 格式来定义策略，并且都遵循 AWS 策略语言的语法规则。
不同之处：
作用范围：标准 IAM 策略通常应用于 IAM 用户、组或角色，以控制其对 AWS 资源的访问。而 assume_role_policy 专门用于控制哪些实体可以假设 IAM 角色。
权限类型：标准 IAM 策略授予的是对 AWS 资源的直接访问权限，而 assume_role_policy 授予的是临时安全凭证，这些凭证允许实体代表角色执行操作。

应用场景

当你需要允许一个 AWS 服务（如 EC2）或另一个 AWS 账户中的实体来代表你的账户执行操作时，你会使用 assume_role_policy。例如，你可能希望允许来自另一个账户的 Lambda 函数调用你的 S3 存储桶中的对象。

示例

以下是一个 Terraform 配置示例，展示了如何定义一个 assume_role_policy：

resource "aws_iam_role" "example" {
  name = "example-role"

  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Action = "sts:AssumeRole"
        Effect = "Allow"
        Principal = {
          Service = "ec2.amazonaws.com"
        }
      },
    ]
  })
}

在这个示例中，我们创建了一个名为 example-role 的 IAM 角色，并为其定义了一个信任策略，允许 EC2 服务假设该角色。