amazon.aws.iam_policy 模块 – 管理用户、组和角色的内联 IAM 策略

注意

此模块是 amazon.aws 集合 (版本 9.0.0) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install amazon.aws。您需要其他要求才能使用此模块，有关详细信息，请参阅要求。

要在剧本中使用它，请指定：amazon.aws.iam_policy。

amazon.aws 5.0.0 中的新增功能

概要 

允许上传或删除 IAM 用户、组或角色的内联 IAM 策略。
要管理托管策略，请参阅 community.aws.iam_user、community.aws.iam_role、amazon.aws.iam_group 和 community.aws.iam_managed_policy。
此模块最初添加到 community.aws 的 1.0.0 版本中。

要求 

执行此模块的主机需要以下要求。

python >= 3.6
boto3 >= 1.28.0
botocore >= 1.31.0

参数 

参数	注释
access_key 别名：aws_access_key_id、aws_access_key、ec2_access_key 字符串	AWS 访问密钥 ID。有关访问令牌的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用 `AWS_ACCESS_KEY_ID`、`AWS_ACCESS_KEY` 或 `EC2_ACCESS_KEY` 环境变量，优先级依次递减。 aws_access_key 和 profile 选项是互斥的。为与 AWS botocore SDK 保持一致，在 5.1.0 版本中添加了 aws_access_key_id 别名。 ec2_access_key 别名已弃用，将在 2024-12-01 后的某个版本中删除。 `EC2_ACCESS_KEY` 环境变量的支持已弃用，将在 2024-12-01 后的某个版本中删除。
aws_ca_bundle 路径	验证 SSL 证书时使用的 CA 捆绑包的位置。也可以使用 `AWS_CA_BUNDLE` 环境变量。
aws_config 字典	用于修改 botocore 配置的字典。参数可在 AWS 文档中找到 https://botocore.amazonaws.com/v1/documentation/api/latest/reference/config.html#botocore.config.Config。
debug_botocore_endpoint_logs 布尔值	使用 `botocore.endpoint` 日志记录器来解析在任务期间进行的唯一（而不是全部）`"resource:action"` API 调用，并将集合输出到任务结果中的 resource_actions 密钥。使用 `aws_resource_action` 回调将输出到剧本期间进行的全部列表。也可以使用 `ANSIBLE_DEBUG_BOTOCORE_LOGS` 环境变量。选项 `false` ← (默认) `true`
endpoint_url 别名：ec2_url、aws_endpoint_url、s3_url 字符串	连接到的 URL，而不是默认的 AWS 端点。虽然这可以用于连接到其他兼容 AWS 的服务，但 amazon.aws 和 community.aws 集合仅针对 AWS 进行测试。也可以使用 `AWS_URL` 或 `EC2_URL` 环境变量，优先级依次递减。 ec2_url 和 s3_url 别名已弃用，将在 2024-12-01 后的某个版本中删除。 `EC2_URL` 环境变量的支持已弃用，将在 2024-12-01 后的某个版本中删除。
iam_name 字符串 / 必需	您希望为策略操作设置目标的 IAM 资源的名称。换句话说，就是用户名、组名或角色名。
iam_type 字符串 / 必需	IAM 资源类型。选项 `"user"` `"group"` `"role"`
policy_json JSON	作为字符串的正确 JSON 格式的策略。
policy_name 字符串 / 必需	要创建或删除的策略的名称标签。
profile 别名：aws_profile 字符串	用于身份验证的命名 AWS 配置文件。有关命名配置文件的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html。也可以使用 `AWS_PROFILE` 环境变量。 profile 选项与 aws_access_key、aws_secret_key 和 security_token 选项互斥。
region 别名：aws_region、ec2_region 字符串	要使用的 AWS 区域。对于 IAM、Route53 和 CloudFront 等全球服务，会忽略 region。也可以使用 `AWS_REGION` 或 `EC2_REGION` 环境变量。有关更多信息，请参阅 Amazon AWS 文档 http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2_region。 ec2_region 别名已弃用，将在 2024-12-01 后的某个版本中删除。对`EC2_REGION`环境变量的支持已弃用，将在2024-12-01之后的一个版本中移除。
secret_key 别名：aws_secret_access_key, aws_secret_key, ec2_secret_key 字符串	AWS 密钥。有关访问令牌的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用`AWS_SECRET_ACCESS_KEY`、`AWS_SECRET_KEY`或`EC2_SECRET_KEY`环境变量，优先级依次递减。 secret_key和profile选项互斥。为与AWS botocore SDK保持一致，在5.1.0版本中添加了aws_secret_access_key别名。 ec2_secret_key别名已弃用，将在2024-12-01之后的一个版本中移除。对`EC2_SECRET_KEY`环境变量的支持已弃用，将在2024-12-01之后的一个版本中移除。
session_token 别名：aws_session_token, security_token, aws_security_token, access_token 字符串	用于临时凭证的AWS STS会话令牌。有关访问令牌的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用`AWS_SESSION_TOKEN`、`AWS_SECURITY_TOKEN`或`EC2_SECURITY_TOKEN`环境变量，优先级依次递减。 security_token和profile选项互斥。在3.2.0版本中添加了aws_session_token和session_token别名，在6.0.0版本中将参数名称从security_token重命名为session_token。 security_token、aws_security_token和access_token别名已弃用，将在2024-12-01之后的一个版本中移除。对`EC2_SECRET_KEY`和`AWS_SECURITY_TOKEN`环境变量的支持已弃用，将在2024-12-01之后的一个版本中移除。
skip_duplicates 布尔值	当`skip_duplicates=true`时，模块将查找与您传入的文档匹配的任何策略。如果找到匹配项，则不会创建具有相同规则的新策略对象。选项 `false` ← (默认) `true`
state 字符串	创建或删除IAM策略。选项 `"present"` ← (默认) `"absent"`
validate_certs 布尔值	设置为`false`时，将不会验证与AWS API通信的SSL证书。强烈建议不要设置validate_certs=false，作为替代方案，请考虑设置aws_ca_bundle。选项 `false` `true` ← (默认)

注释 

注意

注意：对于模块，环境变量和配置文件是从Ansible的“主机”上下文而不是“控制器”上下文读取的。因此，可能需要将文件显式复制到“主机”。对于查找和连接插件，环境变量和配置文件是从Ansible的“控制器”上下文而不是“主机”上下文读取的。
Ansible使用的AWS SDK (boto3)也可能从其在Ansible“主机”上下文中的配置文件（通常为~/.aws/credentials）读取凭据和其他设置的默认值，例如区域。有关更多信息，请参见https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html。

示例 

# Advanced example, create two new groups and add a READ-ONLY policy to both
# groups.
- name: Create Two Groups, Mario and Luigi
  amazon.aws.iam_group:
    name: "{{ item }}"
    state: present
  loop:
    - Mario
    - Luigi
  register: new_groups

- name: Apply READ-ONLY policy to new groups that have been recently created
  amazon.aws.iam_policy:
    iam_type: group
    iam_name: "{{ item.iam_group.group.group_name }}"
    policy_name: "READ-ONLY"
    policy_json: "{{ lookup('template', 'readonly.json.j2') }}"
    state: present
  loop: "{{ new_groups.results }}"

# Create a new S3 policy with prefix per user
- name: Create S3 policy from template
  amazon.aws.iam_policy:
    iam_type: user
    iam_name: "{{ item.user }}"
    policy_name: "s3_limited_access_{{ item.prefix }}"
    state: present
    policy_json: "{{ lookup('template', 's3_policy.json.j2') }}"
    loop:
      - user: s3_user
        prefix: s3_user_prefix

返回值 

常见返回值已在此处记录，以下是此模块特有的字段

键	描述
diff 字典	表示应用于IAM资源（用户、组或角色）的策略之间的差异的字典。返回：始终
after 字典	应用新策略后IAM资源上的当前策略。返回：始终示例： `{"READ-ONLY": {"Statement": [{"Action": "ec2:DescribeAccountAttributes", "Effect": "Allow", "Resource": "*", "Sid": "VisualEditor0"}], "Version": "2012-10-17"}}`
before 字典	应用新策略之前IAM资源上存在的策略。返回：始终示例： `{"READ-ONLY": {"Statement": [{"Action": "ec2:DescribeAccountAttributes", "Effect": "Deny", "Resource": "*", "Sid": "VisualEditor0"}], "Version": "2012-10-17"}}`
group_name 字符串	IAM组的名称。返回：当iam_type=group时示例： `"ExampleGroup001"`
policy_names 列表 / 元素=字符串	指定IAM资源（用户、组或角色）中嵌入的内联策略名称列表。返回：始终示例： `["READ-ONLY"]`
role_name 字符串	IAM角色的名称。返回：当iam_type=role时示例： `"ExampleRole001"`
user_name 字符串	IAM用户的名称。返回：当iam_type=user时示例： `"ExampleUser001"`

作者

Jonathan I. Davila (@defionscode)
Dennis Podkovyrin (@sbj-ss)