Terraform - JSON의 지시문용

tag-icon tag-icon terraform
Terraform - JSON의 지시문용

rds IAM 인증을 허용하기 위해 IAM 정책 리소스 블록의 문자열 값에 대한 루프를 얻으려고 합니다. 내 리소스 정의는 다음과 같습니다.

  resource "aws_iam_policy" "rds_iam_authentication"{
  name    = "${title(var.environment)}RdsIamAuthentication"
  policy  = templatefile(
    "${path.module}/iam_policy.json",
    {
      aws_account_id        = data.aws_caller_identity.current.account_id
      region         = var.region
      environment           = var.environment
      iam_rds_pg_role_name  = var.iam_rds_pg_role_name
    }
  )
}

iam_rds_pg_role_namein 의 변수 정의 terraform.tfvars는 다음과 같습니다.

region                  = "eu-west-3"
environment             = "env_name"
iam_rds_pg_role_name    = ["read_only_role", "full_role"]
aws_account_id          = "1234567890"

IAM 정책 템플릿 파일은 다음과 같습니다.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "rds-db:connect"
          ],
          "Resource": [
            %{ for rds_role in iam_rds_pg_role_name ~}
              "arn:aws:rds-db:${region}:${aws_account_id}:dbuser:*/${rds_role}"
            %{ endfor ~}
          ]
      }
  ]
}

다음과 같은 오류가 발생합니다.

오류: "정책"에 잘못된 JSON이 포함되어 있습니다. 배열 요소 뒤에 잘못된 문자 '''가 있습니다.

문제는 json 인코딩과 관련된 것이라고 확신하지만 jsonencode다음과 같이 json에서 arn 정의를 시도할 때 오류가 여전히 존재합니다.

%{ for rds_role in iam_rds_pg_role_name ~}
    jsonencode("arn:aws:rds-db:${region}:${aws_account_id}:dbuser:*/${rds_role}")}
%{ endfor ~}

내가 놓친 부분을 설명하거나 누군가 나를 올바른 방향으로 안내해 주시면 감사하겠습니다.

미리 감사드립니다

답변1

IAM 정책 템플릿 파일에서 다음 항목에 대한 후행 쉼표가 누락되었습니다 Resource.

...
        "Resource": [
            %{ for rds_role in iam_rds_pg_role_name ~}
              "arn:aws:rds-db:${region}:${aws_account_id}:dbuser:*/${rds_role}",
                                                  there should be a comma here ^
            %{ endfor ~}
          ]
...

의 인덱스와 항목을 모두 반복할 수 iam_rds_pg_role_name있으며 인덱스가 다음보다 작으면 쉼표를 추가할 수 있습니다 length(iam_rds_pg_role_name) - 1.

...
        "Resource": [
            %{ for index, rds_role in iam_rds_pg_role_name ~}
              "arn:aws:rds-db:${region}:${aws_account_id}:dbuser:*/${rds_role}"%{ if idx < length(iam_rds_pg_role_name) - 1 },%{ endif }
            %{ endfor ~}
          ]
...

결과:

Terraform will perform the following actions:

  # aws_iam_policy.rds_iam_authentication will be created
  + resource "aws_iam_policy" "rds_iam_authentication" {
      + arn         = (known after apply)
      + id          = (known after apply)
      + name        = "Env_nameRdsIamAuthentication"
      + name_prefix = (known after apply)
      + path        = "/"
      + policy      = jsonencode(
            {
              + Statement = [
                  + {
                      + Action   = [
                          + "rds-db:connect",
                        ]
                      + Effect   = "Allow"
                      + Resource = [
                          + "arn:aws:rds-db:eu-west-3:1234567890:dbuser:*/read_only_role",
                          + "arn:aws:rds-db:eu-west-3:1234567890:dbuser:*/full_role",
                        ]
                    },
                ]
              + Version   = "2012-10-17"
            }
        )
      + policy_id   = (known after apply)
      + tags_all    = (known after apply)
    }

관련 정보