一千萬個為什麽

搜索

使用Terraform檢測IAM用戶策略附件配置偏差



我正在實施Terraform來控制和跟蹤我們的AWS部署中的配置。

作為其中的一部分,我正在跟蹤所有IAM用戶,角色,組和策略,如果通過AWS控制臺或其他方法手動進行任何更改,則其中一個重要部分是跟蹤配置偏差。我在cron上的CI中運行 terraform plan -detailed-exit-code 以便選擇它。

如果編輯了用戶,角色,組或策略,則效果很好。但是,由於“用戶策略”(直接附加到用戶的那些,以及對組或角色的相同想法)等是獨立管理的,如果附加了策略,Terraform將不會接受此操作本身就是配置漂移。因此,用戶或組可能已附加了 terraform plan 永遠不會接受的策略。

我知道這在技術上可以延伸到一個更大的問題 - 即如何檢測尚未通過Terraform啟動的EC2實例 - 並且,這可能是一個更大的問題。我並不擔心這一點:我更關心用Terraform不知道的資源來改變現有 Terraform管理的用戶,組或角色的行為。

這有幹凈利落的方法嗎?

轉載註明原文: 使用Terraform檢測IAM用戶策略附件配置偏差

一共有 0 個回答: