Utilisation de terrform pour mettre à jour une stratégie de clé KMS

Question

Est-ce que quelqu'un sait comment je voudrais que Terraform mette à jour une politique de clé KMS existante?

J'ai déjà la ou les clés KMS créées mais j'ai un rôle IAM temporaire qui doit utiliser une clé KMS existante. Je voudrais pouvoir ajouter ce "nouveau" rôle IAM à la stratégie de clé KMS existante. Je peux voir que c'est possible en utilisant la console AWS mais je ne vois pas comment le faire dans Terraform.

J'imagine que cela est également possible en utilisant les outils AWS CLI mais je n'ai pas étudié cela car je construis un environnement dans Terraform et je voudrais tout garder au même endroit. Je dois préciser que la clé KMS actuelle est utilisée pour crypter les téléchargements et téléchargements S3 et que divers utilisateurs et rôles IAM ont déjà accès à la clé actuelle. Créer une nouvelle clé ne ferait qu'inverser le problème pour ceux qui accèdent déjà aux baquets. .

Answer 1

Si la clé kms existe et n'est pas contrôlée par terraform, vous devez d'abord importer cette ressource.

Tout d'abord, assurez-vous que ces codes prêts

resource "aws_iam_role" "example" { 
    name = "example" 
    assume_role_policy = "<redacted>" 
} 

resource "aws_kms_key" "example" { 
    description = "example" 
    deletion_window_in_days = 10 

    policy = "${file("kms-policy.json")}" 
} 

Ensuite, exécutez terraform import importer cette ressource.

$ terraform import aws_kms_key.example arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab 

Après cela, la touche kms peut être géré par terraform, vous êtes bien de mettre à jour son rôle iam maintenant avec terraform plan/apply