🎯 מטרות הלמידה

• ליצור IAM Roles ב-Terraform עם for_each
• להבין את ה-Assume Role Policy ולמה היא חיונית
• להכיר את ה-aws_iam_policy_document data source

חלק 1: הגדר Policies לתפקידים

מה עושים:

צור קובץ roles.tf עם בלוק locals שמגדיר map בשם role_policies. המטרה היא לקשר בין כל תפקיד לרשימת ה-ARNs של ה-policies שיצורפו אליו.

איך בונים את ה-map:

• ה-key — שם התפקיד: readonly, developer, admin, auditor
• ה-value — רשימה של ARN אחד או יותר של AWS Managed Policy

רמזים:

💡 ARN של AWS Managed Policy נראה כך: arn:aws:iam::aws:policy/ReadOnlyAccess — שים לב שאין בו מספר חשבון

💡 developer יכיל רשימה עם 2-3 policies (לדוגמה: EC2, VPC, RDS Full Access)

💡 admin — תשתמש ב-AdministratorAccess

💡 auditor — תשתמש ב-SecurityAudit

חלק 2: צור Assume Role Policy

מה עושים:

לפני שיוצרים את ה-Role עצמו, צריך להגדיר מי מורשה להניח אותו (Assume Role). ב-Terraform עושים זאת עם בלוק data מסוג aws_iam_policy_document — הוא מייצר JSON מבלי ליצור resource ב-AWS.