如何在 12 分钟内设置一个新的 AWS 项目

Source: Dev.to

每位 DevOps 工程师都深有体会：一个新项目启动后，你被 AWS 控制台标签、IAM 策略和 Terraform 样板代码埋得满头大汗。
按照 10 步标准设置流程——账户、IAM、VPC、Terraform 状态、模块、CloudWatch、OIDC、Secrets Manager、测试部署——需要 400 多分钟。每一次都是如此。

真正的问题在于：每次的步骤完全相同，却总是手动完成。

信任策略（CI 假设角色，永不存储密钥）

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::ACCOUNT_ID:oidc-provider/token.actions.githubusercontent.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "token.actions.githubusercontent.com:sub": "repo:YOUR_ORG/YOUR_REPO:ref:refs/heads/main"
        }
      }
    }
  ]
}

• 不存储凭证。
• 按仓库的权限。
• 自动过期的令牌。

部署技巧

• 并行部署：VPC 与 IAM 没有依赖关系——可以同时部署。
• 可复用的信任策略：一次模板化 OIDC 关系，然后在每个项目中复用。
• 先配置状态后端：在做其他任何事之前先设置远程状态 + 锁定。
• 如果你在管理 3 个以上的项目或 2 个以上的 AWS 账户，手动开销会迅速叠加。

行动号召

👉 step2dev.com — 等待名单上已有 300+ 位工程师

在你的 AWS 启动流程中，哪一部分是你最希望实现自动化的？