概要

  • Terraform の “aws_iam_policy_attachment” を使用した失敗談を記事にします。
  • 先ず、“aws_iam_policy_attachment” は、IAMポリシーをIAM のuser(s), role(s), group(s) にアタッチするためのリソースです。この “aws_iam_policy_attachment”は、使用方法を理解しないと、想定外の結果を引き起こします。本記事の内容をお読みください。

“aws_iam_policy_attachment” の注意事項

  • aws_iam_policy_attachment はIAMポリシーを排他的にアタッチします。
  • aws_iam_policy_attachment に定義されていない user(s), role(s), group(s) から、対象のIAMポリシーがデタッチされます。これは、aws_iam_policy_attachment を使用する際は、対象のIAMポリシーを使用中のすべてのuser(s), role(s), group(s) についても定義する必要があるためです。
  • 同一 AWSアカウント内の user(s), role(s), group(s) が影響を受けます。
  • Terraform にて作成されたリソース、コンソール等Terraform 以外で作成されたリソースの区別に関わらず、すべてのIAM リソースが影響を受ける可能性があります。

全文はこちら:aws_iam_policy_attachment はIAMポリシーを排他的にアタッチする
著者:新川貴章