如何为 Terraform 配置 AWS MFA？

Question

我想为 Terraform 执行 MFA，因此预计会为每个terraform [command]从我的虚拟 MFA 设备中请求 6 位令牌。 阅读文档后： cli-roles terraform mfa我创建了一个角色：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::[ACCOUNT_ID]:user/testuser"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "Bool": {
          "aws:MultiFactorAuthPresent": "true"
        }
      }
    }
  ]
}

默认情况下，该用户被迫使用 MFA，我为他配置了一个虚拟 MFA 设备。

~/.aws/凭据：

[default]
...

[terraform_role]
role_arn = arn:aws:iam::[ACCOUNT_ID]:role/terraform-test-role
source_profile = default
mfa_serial = arn:aws:iam::[ACCOUNT_ID]:mfa/testuser

在我的 Terraform 环境中，我放置了以下内容：

provider "aws" {
  profile = "terraform_role"
}

但是当我运行terraform plan时，它会抛出一个错误：

Error refreshing state: 1 error(s) occurred:

* provider.aws: No valid credential sources found for AWS Provider.
  Please see https://terraform.io/docs/providers/aws/index.html for more information on
  providing credentials for the AWS Provider

Answer 1

解决方案是指定assume_role语句：

provider "aws" {
  profile = "default"
  assume_role {
    role_arn = "arn:aws:iam::[ACCOUNT_ID]:role/terraform-test-role"
  }
}

Answer 2

不幸的是， assume_role语句本身并不是一个可行的解决方案。 您需要使用 MFA 身份验证包装器aws-runas ，它不仅可以简化担任角色的过程，还可.aws/credentials文件中的mfa_serial子句提供支持。

简而言之，有3个步骤：

1. 您需要拥有自己的.aws/credentials文件。
2. 安装aws-runas
3. 运行申请： aws-runas [your_profile] - terraform apply