Introduction > Terraform项目 > 创建IAM资源

创建IAM资源

现在我们已经定义了各种变量，让我们创建必要的 IAM 资源，这些资源将允许我们的 EC2 实例从 S3 存储桶中读取数据，并获得对我们稍后创建的 RDS 资源的完全访问权限。

app instance profile能访问数据库和SSM
web_hosting instance profile能访问S3和SSM

创建资源

aws_iam_role - 创建 IAM 角色
aws_iam_role_policy_attachments_exclusive - 为 IAM 角色创建策略附件，以便独占customer managed policies
aws_iam_instance_profile - 创建 IAM EC2 实例配置文件，将 IAM 角色附加到 EC2 实例

打开 main.tf，在文件末尾添加以下内容并保存文件

# 创建应用程序IAM角色
resource "aws_iam_role" "app" {
  name               = "app"
  path               = "/"
  assume_role_policy = data.aws_iam_policy_document.assume_role.json
}

# 为应用程序角色附加SSM和数据库访问策略
resource "aws_iam_role_policy_attachments_exclusive" "app" {
  role_name   = aws_iam_role.app.name
  policy_arns = [
    data.aws_iam_policy.ssm_managed.arn,    # SSM管理策略
    data.aws_iam_policy.database.arn        # 数据库访问策略
  ]
}

# 创建Web托管IAM角色
resource "aws_iam_role" "web_hosting" {
  name               = "web_hosting"
  path               = "/"
  assume_role_policy = data.aws_iam_policy_document.assume_role.json
}

# 为Web托管角色附加SSM和S3只读策略
resource "aws_iam_role_policy_attachments_exclusive" "web_hosting" {
  role_name   = aws_iam_role.web_hosting.name
  policy_arns = [
    data.aws_iam_policy.ssm_managed.arn,    # SSM管理策略
    data.aws_iam_policy.s3_ReadOnly.arn     # S3只读策略
  ]
}

# 创建应用程序的实例配置文件
resource "aws_iam_instance_profile" "app" {
  name = "app-profile"
  role = aws_iam_role.app.name
}

# 创建Web托管的实例配置文件
resource "aws_iam_instance_profile" "web_hosting" {
  name = "web-hosting-profile"
  role = aws_iam_role.web_hosting.name
}

运行命令 terraform init 以获取创建资源所需的提供程序
运行命令 terraform validate 以验证语法
运行命令 terraform plan 以计划部署
运行命令 terraform apply 以应用部署。输入 ‘yes’ 确认操作。我们可以使用 -auto-approve 选项跳过批准

创建完成后的效果：

查看部署

导航到 AWS 控制台，搜索 IAM，然后单击 IAM 进入 IAM 控制台。搜索以下每个 IAM 角色，以确认我们已创建它们并检查这些角色:

app
web_hosting

并自动打上了标签：

要快速确认instance profile的成功创建，请运行以下命令。

app-profile:

aws iam get-instance-profile --instance-profile-name app-profile | grep InstanceProfile -q && echo "Successfully created app-profile" || echo "Creation of app-profile was unsuccessful"

web-hosting-profile

aws iam get-instance-profile --instance-profile-name web-hosting-profile | grep InstanceProfile -q && echo "Successfully created web-hosting-profile" || echo "Creation of web-hosting-profile was unsuccessful"

现在我们已经确认创建了 IAM 资源，拉下来创建网络资源。