那些遇到过的问题

如何使用 Terraform 附加多个 AWS SQS 策略

thu*_*i39 1 amazon-sqs amazon-web-services terraform terraform-provider-aws

我确实有 SQS 的默认策略,如下所示。参考了文档 - https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/sqs_queue_policy

如果需要 sns 订阅,我想将该策略附加到默认策略之上。

默认策略如下

  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sqs:SendMessage*"
      ],
      "Resource": [
        "${aws_sqs_queue.queue.arn}"
      ]
    }
  ]
}
Run Code Online (Sandbox Code Playgroud)

附加政策如下

{
      "Sid": "topic-subscription-arn-test",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "SQS:SendMessage",
      "Resource": ["${aws_sqs_queue.queue.arn}"],
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn-test"
        }
      }
    }
Run Code Online (Sandbox Code Playgroud)

我刚刚尝试过,但政策被覆盖了。有什么想法可以使用 Terraform 附加策略吗?提前致谢。正在寻找这种方法的某种想法吗?可能有超过 2 个策略,因此我正在尝试附加这些策略。

Mar*_*o E 5

我强烈建议使用aws_iam_policy_document数据源 [1] 在 Terraform 中而不是 JSON 中构建策略。由于SQS队列有一个参数policy[2],所以资源aws_sqs_queue_policy不一定要使用,但也可以与上面提到的数据源结合起来。所以有两个选择:

  1. 使用数据源创建策略并使用policy参数附加它
  2. 使用数据源创建策略并将其附加到aws_sqs_queue_policy

如果您决定使用第一个选项,则代码应如下所示:

data "aws_iam_policy_document" "sqs_policy" {

  statement {
    sid = "FirstSQSPolicy"
    effect  = "Allow"
    actions = [
      "sqs:SendMessage*"
    ]
    resources = [
      aws_sqs_queue.queue.arn
    ]
  }

  statement {
    sid     = "topic-subscription-arn-test"
    effect  = "Allow"
    actions = [
      "sqs:SendMessage"
    ]
    resources = [
      aws_sqs_queue.queue.arn
    ]
    condition {
      test     = "ArnLike"
      variable = "aws:SourceArn"
      values = [
        "arn-test"
      ]
    }
  }
}

resource "aws_sqs_queue" "terraform_queue" {
  ...
  policy = data.aws_iam_policy_document.sqs_policy.json
}
Run Code Online (Sandbox Code Playgroud)

对于第二个选项,您可以使用相同的数据源并将 JSON 附加到资源aws_sqs_queue_policy

data "aws_iam_policy_document" "sqs_policy" {

  statement {
    sid = "FirstSQSPolicy"
    effect  = "Allow"
    actions = [
      "sqs:SendMessage*"
    ]
    resources = [
      aws_sqs_queue.queue.arn
    ]
  }

  statement {
    sid     = "topic-subscription-arn-test"
    effect  = "Allow"
    actions = [
      "sqs:SendMessage"
    ]
    resources = [
      aws_sqs_queue.queue.arn
    ]
    condition {
      test     = "ArnLike"
      variable = "aws:SourceArn"
      values = [
        "arn-test"
      ]
    }
  }
}

resource "aws_sqs_queue_policy" "sqs_queue_policy" {
  queue_url = aws_sqs_queue.queue.id

  policy = data.aws_iam_policy_document.sqs_policy.json
}
Run Code Online (Sandbox Code Playgroud)

使用 IAM 策略的数据源,您可以根据需要添加语句。

[1] https://registry.terraform.io/providers/hashicorp/aws/latest/docs/data-sources/iam_policy_document

[2] https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/sqs_queue#policy

归档时间:

查看次数:

3662 次

最近记录:

3 年,9 月 前
相关归档
有没有办法在S3上托管内容的index.html功能? 31
EMR笔记本安装其他库 16
无法为API网关功能启用CORS 13
通过 Terraform 更改 AWS 中的目标端口时,删除目标组时出错:ResourceInUse 8
使用PostGIS配置Amazon Elastic Beanstalk 7
AWS S3"404 Not Found" 6
自定义域和 ElastiCache Redis SSL 问题 6
尝试连接到 AWS ECS EC2 实例中的容器时,在 $PATH 中找不到可执行文件 5
使用 Fargate 在 ECS 中运行 HashiCorp 的 Vault 5
将地图展平为 terraform 中的列表? 4
难疑归档
为什么减去这两次(在1927年)给出一个奇怪的结果? 6628
HTML 5:是,<br>还是<br />? 1952
如何在C#中生成随机int数? 1792
如何在Bash中解析命令行参数? 1764
在GitHub上将图像添加到README.md 1675
如何从列表中随机选择一个项目? 1656
用64位替换32位循环计数器会引入疯狂的性能偏差 1370
如何获取Android应用程序的构建版本号? 1198
如何在同一分支上的两个不同提交之间区分相同的文件? 1077
如何按值排序多维数组? 1058