原谅问题标题的糟糕措辞,但实际上我们在进行地形时遇到了这样一种情况,plan最后我们会遇到一个模糊的单行访问被拒绝异常。
...
module.vpn_connection.aws_vpn_connection_route.default[0]: Refreshing state... [id=***]
2021/07/06 17:11:08 [INFO] backend/local: plan operation completed
Error: error describing AWS Organizations Account (***): AccessDeniedException: You don't have permissions to access this resource.[0m
make: *** [plan] Error 1
现在我无论如何都不是 terraform 专家(我是开发人员),但我已经多次检查过,并且在我们的 tf 代码中没有任何地方尝试调用显式描述帐户。
我尝试使用重新初始化和运行计划TF_LOG_CORE=trace TF_LOG_PROVIDER=trace TF_LOG=trace,虽然其他所有内容都在更详细地记录,但这条线仍然继续自行出现,没有任何进一步的有用信息。
当我们的安全人员对我们的 AWS 访问进行一些更改时,我们最初发现了这种情况,包括引入 AWS SSO 配置文件(很可能是不相关的)以及将状态存储桶从旧账户移动到新的 Ops 账户,所以我最好的猜测atm 是提供程序更改造成的。为了公平起见,更改远程后端配置的过程也是使用 terraform 优雅地完成的。
谷歌搜索后,我发现的结果很少,除了有人在这里发布了类似的东西。
为了使事情更加混乱,在此之前和之后完成的 API 调用(我相信登录跟踪和状态锁,例如 POST 到dynamodb/GetItemor Action=DescribeVpnConnections)都返回 200 个响应代码,因此似乎没有立即导致此错误.
更多关于版本和系统配置:
MacOS Big Sur 11.2.3(和亚特兰蒂斯)Terraform v0.14.8。provider registry.terraform.io/hashicorp/aws v3.46.0 如上所述,我们使用的是远程 S3 后端。
例如,与“健康”帐户相比,我可以看到围绕这一点的日志如下:
2021/06/24 19:33:13 [INFO] backend/local: plan operation completed
2021/06/24 19:33:13 [INFO] backend/local: writing plan output to: plan.out
No changes. Infrastructure is up-to-date.
This means that Terraform did not detect any differences between your
configuration and real physical resources that exist. As a result, no
actions need to be performed.[0m
我想知道我们是否可以查明是哪个 TF 操作/AWS 调用导致了这种情况,以及它是否是 terraform 提供程序/模块进行的调用。鉴于提供的信息很少,我更倾向于在故障排除方面提供下一步操作的提示,而不是最终答案。
完全没有想法,有什么线索吗?如果您需要任何代码片段或更多日志,请告诉我,我可以提供,但实际上我也看到了这些!
干杯,