4

我在使用iam_policy资源类型时遇到了问题,而没有让自己被锁定在terraform destroy. google_storage_bucket_iam_policy这适用于和等资源类型google_project_iam_policy

此示例适用于google_storage_bucket_iam_policy资源。假设我有一个所有者列表和 terraform 用于授予该roles/storage.admin角色的服务帐户。

resource "google_storage_bucket" "default" {
  name = "default"
  location = "EU"
}

resource "google_storage_bucket_iam_role"  "owners" {
  bucket = "default"
  binding {
    role = "roles/storage.admin"
    members = [
      "${var.owners}",
      "${var.serviceAccount}"
    ]
  }
}

创建资源的顺序是先bucket,后policy。自然,该destroy操作以相反的顺序处理资源 - 首先是策略,然后是存储桶。但是,删除策略后,服务帐户没有足够的权限来删除存储桶。

也许一种解决方法是google_storage_bucket_iam_member为所有者使用资源,但是这种方法似乎不是很干净,因为它继承了之前在项目中定义的任何内容,这可能会非常混乱。

顺便说一句,相同的逻辑适用于项目级别的资源google_project_iam_policy。提前致谢。

4

1 回答 1

1

您可以创建一个显式依赖项,它将:

  1. 确保在存储桶之前创建 IAM 角色
  2. 确保在 IAM 角色之前销毁存储桶

这是您depends_on添加的示例:

resource "google_storage_bucket" "default" {
  name = "default"
  location = "EU"
  depends_on = ["google_storage_bucket_iam_role.owners"]
}

resource "google_storage_bucket_iam_role"  "owners" {
  bucket = "default"
  binding {
    role = "roles/storage.admin"
    members = [
      "${var.owners}",
      "${var.serviceAccount}"
    ]
  }
}
于 2018-07-12T14:22:23.353 回答