Terraform - 不能在字符串模板中包含给定值：需要字符串

Question

我正在尝试使用 terraform 在 SageMaker 上创建模型，关注 this page 由于权限限制，我无法为 sagemaker 角色分配完全访问策略，因此我创建了一个角色并附加了一个具有部分权限的策略

当我测试Terraform plan 时，它给了我这个：

Error: Invalid template interpolation value
...

..........................
 141:                 "ecr:GetRepositoryPolicy"
 142:             ],
 143:             "Resource": [
 144:                 "arn:aws:s3:::${aws_s3_bucket.xx_xxxxxxxxxx_xxx_bucket}",
 145:                 "arn:aws:s3:::${local.binaries_bucket_name}",
 146:                 "arn:aws:s3:::${aws_s3_bucket.xx_xxxxxxxxxx_xxx_bucket}/*",
 147:                 "arn:aws:s3:::${local.binaries_bucket_name}/*",
 148:                 "arn:aws:ecr:us-east-1:*:repository/*",
 149.....................
 157:         }
 158:     ]
 159: }
 160: POLICY
    |----------------
    | aws_s3_bucket.xx_xxxxxxxxxx_xxx_bucket is object with 25 attributes

Cannot include the given value in a string template: string required.

我是新手，只是想知道这是抱怨存储桶名称太长还是其他什么？我该怎么做才能解决这个问题，我有点困惑。非常感谢。

（PS：Terraform 版本v0.13.4 + 提供者registry.terraform.io/hashicorp/aws v3.20.0）

Answer 1

看来您需要的是 S3 存储桶的 ARN，它由 exported resource attributes 提供。具体来说，您可能需要arn 资源属性。

更新您的政策，例如：

 144:             "${aws_s3_bucket.xx_xxxxxxxxxx_xxx_bucket.arn}",
 146:             "${aws_s3_bucket.xx_xxxxxxxxxx_xxx_bucket.arn}/*",

将通过访问arn 属性为您提供所需的字符串。当前编写的策略是访问aws_s3_bucket.xx_xxxxxxxxxx_xxx_bucket，它是该资源的每个参数和属性的映射（可能是对象），并且不会插入到您的策略字符串中。

Answer 2

我认为您需要正确创建自定义策略，然后将其链接到存储桶，您可以在此处查看一些示例： https://registry.terraform.io/modules/JousP/s3-bucket-policy/aws/latest/examples/custom-policy