Вот мое определение aws_iam_role в терраформе
resource "aws_iam_role" "server_role" {
name = "server-role"
assume_role_policy = <<EOF
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeEnvironment",
"sqs:ChangeMessageVisibility",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"s3:GetObject*",
"s3:ListBucket*",
"s3:PutBucket*",
"s3:PutObject*"
],
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
}
EOF
но я получаю эту ошибку, когда пытаюсь запустить terraform plan
:
Ошибка: ошибка при применении плана:
Произошла 1 ошибка (и):
aws_iam_role.server_role: произошла 1 ошибка (и):
aws_iam_role.server_role: ошибка при создании роли IAM server-role: MalformedPolicyDocument: политика AssumeRole может указывать только действия STS AssumeRole. код состояния: 400, идентификатор запроса: 55f1bfaf-a121-11e9-acaf-bb57d635757b
Я в основном хочу разрешить серверу читать / писать корзины S3 и читать / писать очереди SQS.
Видимо я не могу сложить все эти sqs:*
и s3:*
в одном месте. Как это сделать в терраформе?