terraform (TF) 的设计原则规定当前的 TF 配置文件应该明确定义您的基础设施。这意味着定义您的解决方案的资源仅由给定的配置文件和当前的 TF 状态管理。如果某些资源不处于 TF 状态，则仅将其视为超出 TF 的范围并且不存在。

因此，TF不直接支持检查任何资源的存在，也不支持基于此类条件的conditional creation of resources。这会导致问题，因为您的 TF 无法完全代表您的架构。

因此，TF docs 建议：

与其尝试编写一个模块，该模块本身尝试检测某物是否存在并在不存在时创建它，我们建议应用依赖倒置方法：让模块接受它需要的对象作为参数，通过输入变量。

基于上述内容，您应该致力于开发您的 aws_iam_policy_document.key_policy，以便它根据输入变量创建有问题的 statement。这意味着您的 CICD 管道必须检查角色是否存在，并将此信息作为输入变量传递给您的 CF 文件，例如my_role_exists 带有 true 和 false 值。

然后，您可以使用 dynamic blocks 使 statement 有条件：

data "aws_iam_policy_document" "key_policy" {

  dynamic "statement" {

    for_each = var.my_role_exists == true ? [1] : [] 

    content {
      sid = "Give Access to the my Role"

      actions = [
        "kms:GenerateDateKey","kms:Decrypt"
      ]

      resources = ["*"]

      principals {
        type        = "AWS"
        identifiers = ["arn:aws:iam::${var.account_id}:role/myrole"]
      }
    }
   } 
}