遇到这种依赖外部变量且顺序可能变化的场景，用for_each代替count是最佳方案。count依赖列表索引来标识资源，一旦变量顺序变动，索引对应的资源就会错位；而for_each基于唯一的键值对来管理资源，能直接通过角色名称精准引用，完全避开索引的问题。

第一步：将IAM角色资源改为for_each创建 #

因为你的var.somevariable是列表类型，先通过toset()将其转换为集合（确保元素唯一，IAM角色名称本身也要求唯一），然后用for_each遍历：

resource "aws_iam_role" "role" {
  for_each = toset(var.somevariable)
  name     = each.value
}

这里each.value就是每个角色的名称，for_each会以角色名称作为资源的唯一键。

第二步：按名称直接引用目标角色 #

现在你可以直接通过角色名称作为键来引用对应的IAM角色实例，完全不需要关心索引：

resource "aws_iam_role_policy_attachment" "polatt" {
  role       = aws_iam_role.role["TheRoleNameIWant"].id
  policy_arn = "arn:aws:iam::aws:policy/..."
}

进阶：如果变量是包含更多属性的对象列表 #

如果你的var.somevariable不是单纯的名称列表，而是包含其他属性的对象（比如需要设置角色描述、信任策略等），可以用for表达式将列表转换为以名称为键的映射：

假设变量定义是：

variable "roles" {
  type = list(object({
    name        = string
    description = string
    assume_role_policy = string
  }))
}

那么资源创建可以写成：

resource "aws_iam_role" "role" {
  for_each = { for role in var.roles : role.name => role }
  
  name                = each.value.name
  description         = each.value.description
  assume_role_policy  = each.value.assume_role_policy
}

引用方式依然不变：aws_iam_role.role["TargetRoleName"].id

为什么for_each比count更合适？ #

• 避免索引依赖：外部变量顺序变化时，count会导致资源被错误地销毁重建（因为索引对应的元素变了），而for_each基于唯一名称键，顺序变动不会影响资源的生命周期。
• 更直观的引用逻辑：直接通过业务标识（角色名称）引用，比索引更符合人类思维，也更容易维护。

你的Terraform v12.19和AWS Provider v2.34.0完全支持for_each的这些用法，可以放心使用。

内容的提问来源于stack exchange，提问作者Stefan