웹사이트 검색

Terraform을 사용하여 AWS에서 IAM 역할을 생성하는 방법


이 기사에서는 IAM 역할을 생성하는 방법을 살펴봅니다. 계속 진행하기 전에 귀하가 Terraform 및 AWS IAM 역할의 기본 사항에 익숙하다고 가정합니다. IAM 역할에 대해 자세히 알아보려면 여기를 클릭하십시오. 이 도움말에서는 역할을 만들고 관리자 권한을 할당합니다.

전제 조건

  1. Terraform에 대한 기본적인 이해.
  2. 시스템에 Terraform이 설치되어 있습니다.
  3. AWS 계정(계정이 없는 경우 생성).
  4. AWS IAM 사용자의 access_key 및 secret_key. (AWS에서 access_key 및 secret_key를 사용하여 IAM 사용자를 생성하는 방법을 알아보려면 여기를 클릭하십시오.)

우리가 할 일

  1. IAM 역할을 생성하기 위한 Terraform 구성 파일을 작성합니다.
  2. Terraform 구성 파일을 사용하여 IAM 역할을 만듭니다.
  3. Terraform을 사용하여 생성된 IAM 역할을 삭제합니다.

IAM 역할에 대한 Terraform 구성 파일 쓰기

terraform 구성 파일을 만들 수 있는 전용 디렉터리를 만듭니다.

다음 명령을 사용하여 디렉토리를 만들고 현재 작업 디렉토리를 변경하십시오.

mkdir terraform
cd terraform/

저는 \vim\을 편집기로 사용하여 파일을 작성하고 있습니다. 원하는 편집기를 사용하고 다음 구성을 복사하여 붙여넣어 variables.tf, terraform.tfvars 및 main.tf를 만들 수 있습니다.

AWS에서 IAM 역할 생성을 담당하는 main.tf를 생성합니다. 이 main.tf는 variables.tf 및 terraform.tfvars에서 변수 값을 읽습니다.

vim main.tf

provider "aws" {
      region     = "${var.region}"
      access_key = "${var.access_key}"
      secret_key = "${var.secret_key}"
}
data "aws_iam_policy_document" "cross_account_assume_role_policy" {
  statement {
    effect = "Allow"

    principals {
      type        = "AWS"
      identifiers = var.principal_arns
    }

    actions = ["sts:AssumeRole"]
  }
}

resource "aws_iam_role" "cross_account_assume_role" {
  name               = var.name
  assume_role_policy = data.aws_iam_policy_document.cross_account_assume_role_policy.json
}

resource "aws_iam_role_policy_attachment" "cross_account_assume_role" {
  count = length(var.policy_arns)

  role       = aws_iam_role.cross_account_assume_role.name
  policy_arn = element(var.policy_arns, count.index)
}

위 구성에서 사용된 인수의 의미:

  • assume_role_policy - (필수) 엔티티에 역할을 수임할 수 있는 권한을 부여하는 정책입니다.
  • policy_arn (필수) - 적용하려는 정책의 ARN입니다.

변수의 선언 및 정의를 포함하는 variables.tf를 생성합니다.

여기,

\principal_arns\ 변수는 이 역할을 사용하도록 허용되는 AWS 계정 번호를 보유합니다. 여기에 계정 번호 목록을 전달할 수도 있습니다.

\policy_arns\ 변수는 생성할 역할에 연결해야 하는 정책의 ARN을 보유합니다. 여기에서 정책 ARN 목록을 전달할 수도 있습니다.

vim variables.tf

variable "access_key" {
     description = "Access key to AWS console"
}
variable "secret_key" {
     description = "Secret key to AWS console"
}
variable "region" {
     description = "Region of AWS VPC"
}
variable "name" {
  default = "myrole"
  type        = "string"
  description = "The name of the role. "
}
variable "principal_arns" {
  default = ["123456789012"]
  type        = list(string)
  description = "ARNs of accounts, groups, or users with the ability to assume this role."
}

variable "policy_arns" {
  default = ["arn:aws:iam::aws:policy/AdministratorAccess"]
  type        = list(string)
  description = "List of ARNs of policies to be associated with the created IAM role"
}

variables.tf를 생성했으면 변수에 할당된 값을 변경하는 것을 잊지 마십시오. 강조표시된 값은 내 환경에만 해당하므로 변경해야 합니다. 나머지 변수는 그대로 유지할 수 있습니다. 생성 중인 역할에 관리자 액세스 권한을 할당하지 않으려면 선택한 정책의 정책 ARN을 정의하여 변경할 수 있습니다.

위 파일에 정의된 access_key 및 secret_key 변수의 정의를 포함하는 terraform.tfvars를 생성합니다. 우리는 region과 함께 terraform.tfvars 파일에 이 두 변수의 선언을 보관했습니다.

IAM 역할을 생성하기 위해 특정 지역이 특별히 필요하지 않습니다. 이 지역 변수를 이해하고 다른 리소스 생성 파일에서 사용할 수 있도록 이 변수를 여기에 보관했습니다.

IAM 사용자의 키로 다음 키를 변경해야 합니다. 이러한 키를 지정하기 전에 AWS 콘솔에서 키를 생성해야 하며 이 키를 누구와도 공유하지 마십시오.

vim terraform.tfvars

region = "eu-west-3"
access_key = "AKIAQ6GAIA5XFLXF6HOV"
secret_key = "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"

이제 3개의 파일 즉, variables.tf, terraform.tfvars 및 main.tf가 있어야 합니다.

Terraform 구성 파일을 사용하여 IAM 역할 생성

다음 명령을 실행하기 전에 유효한 access_key 및 secret_key를 구성했는지 확인하십시오.

사용할 첫 번째 명령어는 terraform init입니다. 이 명령은 구성 내에서 사용되는 공급자에 대한 플러그인을 다운로드하고 설치합니다. 우리의 경우 AWS입니다.

 terraform init

두 번째로 사용할 명령은 terraform plan입니다. 이 명령은 인프라에서 발생할 변경 사항을 확인하는 데 사용됩니다.

 terraform plan

terraform apply 명령은 main.tf 파일에 언급된 AWS에 리소스를 생성합니다. 리소스를 생성하기 위한 입력을 제공하라는 메시지가 표시됩니다.

terraform apply

위 명령어를 실행하면 성공적으로 완료되면 새 리소스가 추가되고 0이 소멸된 것을 확인할 수 있습니다.

역할 아래의 AWS IAM 콘솔로 이동하여 IAM 역할이 생성되었는지 확인할 수 있습니다.

Terraform을 사용하여 생성된 IAM 역할을 삭제합니다.

main.tf 파일에 언급된 구성을 사용하여 생성한 리소스가 더 이상 필요하지 않은 경우 \terraform destroy\ 명령을 사용하여 해당 리소스를 모두 삭제할 수 있습니다.

terraform destroy

결론

이 기사에서는 관리자 권한으로 IAM 역할을 생성하는 단계를 살펴보았습니다. 또한 단 하나의 명령으로 IAM 역할을 삭제할 수 있는 방법도 확인했습니다.