我正在尝试使用 Terraform 0.13 编写一个内部模块,允许调用者在调用时选择一个或多个预先编写的策略文档。我想做的是将每个策略定义为 data.iam_policy_document,并有条件地将它们作为多个语句包含/合并到结果策略中。我发现的所有示例似乎都没有做到这一点,并且注册表中的大多数 IAM 相关模块仅依赖于父模块传递完整的策略声明,但我的目标是模块的用户不需要了解如何编写正确的 IAM 策略。
我的想法是最简单的方法是合并策略文档的 .json 版本并将其传递给 iam_policy 资源,但这似乎不适用于通过计数三元组控制策略文档,我意识到这可能是完全错误的做法。
使用该模块的预期结果是创建具有适当信任策略的单个角色,该角色可以访问所选服务组,并且不会创建任何未使用和不需要的资源(保持未附加的额外策略等)