🎯 מטרות הלמידה

• לתקן את ה-Trust Policy כך שכל תפקיד יאפשר רק למשתמשים המתאימים להניח אותו
• ללמוד לבנות users_map — מעבר מ-list ל-map לגישה נוחה יותר
• להשתמש ב-contains() לסינון דינמי בתוך policy document

חלק 1: הבן את הבעיה

מה קורה עכשיו:

ה-aws_iam_policy_document של ה-Assume Role Policy הוא resource אחד שמוצמד לכל ה-roles. כלומר — כל המשתמשים יכולים להניח כל תפקיד.

מה רוצים:

כל תפקיד יקבל policy document נפרד, שמאפשר רק למשתמשים שיש להם את אותו תפקיד ב-YAML להניח אותו.

שתי משימות:

1. להפוך את ה-data.aws_iam_policy_document ל-for_each — אחד לכל תפקיד
2. בכל document, לשים ב-identifiers רק את המשתמשים שהתפקיד הזה מוגדר אצלם

חלק 2: הוסף for_each ל-policy document

מה עושים:

בבלוק ה-data "aws_iam_policy_document" "assume_role_policy" הקיים צריך להפוך ממשאב אחד לאוסף — אחד לכל תפקיד.

איך בונים:

• הוסף for_each שעובר על ה-keys של local.role_policies

💡 השתמש ב-toset(keys(local.role_policies)) — בדיוק כמו שעשית ב-aws_iam_role