terraform google iam

هذه مجموعة من الوحدات الفرعية التي تسهل إدارة أدوار IAM المتعددة بشكل غير مدمر للموارد الموجودة على Google Cloud Platform:

• سجل القطع الأثرية IAM
• تكوين التدقيق
• BigQuery IAM
• حسابات الفواتير IAM
• خدمة تشغيل السحابة IAM
• دور مخصص IAM
• منطقة DNS IAM
• المجلدات IAM
• مفاتيح تشفير KMS IAM
• KMS_Key Rings IAM
• المنظمات IAM
• مشاريع IAM
• اشتراكات Pubsub IAM
• موضوعات Pubsub IAM
• المدير السري IAM
• حسابات الخدمة IAM
• دلاء التخزين IAM
• الشبكات الفرعية IAM
• مفاتيح العلامات IAM
• قيم العلامة IAM
• مدير المصدر الآمن

هذه الوحدة مخصصة للاستخدام مع Terraform 1.3+ وتم اختبارها باستخدام Terraform 1.3+. إذا وجدت عدم توافق في استخدام Terraform >=1.3، فيرجى فتح مشكلة.

تتوفر الأدلة التالية للمساعدة في الترقيات:

• 4.0 -> 5.0
• 3.0 -> 4.0
• 2.0 -> 3.0

توجد الأمثلة الكاملة في مجلد الأمثلة، ولكن الاستخدام الأساسي هو كما يلي لإدارة الأدوار في مشروعين:

 module "projects_iam_bindings" {
  source  = " terraform-google-modules/iam/google//modules/projects_iam "
  version = " ~> 8.0 "

  projects = [ " project-123456 " , " project-9876543 " ]

  bindings = {
    " roles/storage.admin " = [
      " group:[email protected] " ,
      " user:[email protected] " ,
    ]

    " roles/compute.networkAdmin " = [
      " group:[email protected] " ,
      " user:[email protected] " ,
    ]

    " roles/compute.imageUser " = [
      " user:[email protected] " ,
    ]
  }
}

توفر الوحدة أيضًا وضعًا موثوقًا سيؤدي إلى إزالة جميع الأدوار التي لم يتم تعيينها من خلال Terraform. هذا مثال على استخدام الوضع المعتمد لإدارة الوصول إلى مجموعة التخزين:

 module "storage_buckets_iam_bindings" {
  source  = " terraform-google-modules/iam/google//modules/storage_buckets_iam "
  version = " ~> 8.0 "

  storage_buckets = [ " my-storage-bucket " ]

  mode = " authoritative "

  bindings = {
    " roles/storage.legacyBucketReader " = [
      " user:[email protected] " ,
      " group:[email protected] " ,
    ]

    " roles/storage.legacyBucketWriter " = [
      " user:[email protected] " ,
      " group:[email protected] " ,
    ]
  }
}

يتحكم متغير mode في سلوك الوحدة الفرعية، ويتم ضبطها افتراضيًا على "مضافة"، والخيارات الممكنة هي:

• المضافة: إضافة أعضاء إلى الدور، ولا يتم حذف الأعضاء القدامى من هذا الدور.
• موثوق: قم بتعيين أعضاء الدور (بما في ذلك إزالة أي أعضاء غير مدرجين)، ولا تتأثر الأدوار غير المدرجة.

في الوضع الموثوق، تتحكم الوحدة الفرعية بشكل كامل في روابط IAM المدرجة في الوحدة. وهذا يعني أنه ستتم إزالة أي أعضاء تمت إضافتهم إلى الأدوار خارج الوحدة في المرة التالية التي يتم فيها تشغيل Terraform. ومع ذلك، لن تتأثر الأدوار غير المدرجة في الوحدة.

في الوضع الإضافي، تترك الوحدة الفرعية الارتباطات الموجودة دون أن تتأثر. وبدلاً من ذلك، ستتم إضافة أي أعضاء مدرجين في الوحدة النمطية إلى المجموعة الحالية من روابط IAM. ومع ذلك، يتم التحكم بشكل كامل في الأعضاء المدرجين في الوحدة النمطية بواسطة الوحدة النمطية. هذا يعني أنه إذا قمت بإضافة رابط عبر الوحدة ثم قمت بإزالته لاحقًا، فستتعامل الوحدة بشكل صحيح مع إزالة ربط الدور.

تقوم كل وحدة فرعية بتنفيذ عمليات على بعض المتغيرات قبل إجراء أي تغييرات على روابط IAM في GCP. بسبب القيود المفروضة على for_each (مزيد من المعلومات)، والتي تستخدم على نطاق واسع في الوحدات الفرعية، هناك قيود معينة على نوع القيم الديناميكية التي يمكنك توفيرها لوحدة فرعية:

1. يُسمح بالكيانات الديناميكية (على سبيل المثال projects ) لكيان واحد فقط.
2. إذا قمت بتمرير كيانين أو أكثر (على سبيل المثال projects )، فيجب أن يكون التكوين ثابتًا، مما يعني أنه لا يمكنه استخدام أي من حقول الموارد الأخرى للحصول على اسم الكيان منها (وهذا يتضمن الحصول على التجزئة التي تم إنشاؤها عشوائيًا من خلال random_id الموارد).
3. لا يمكن لأسماء الأدوار نفسها أن تكون ديناميكية أبدًا.
4. لا يجوز للأعضاء أن يكونوا ديناميكيين إلا في الوضع authoritative .

يمكنك اختيار أنواع الموارد التالية لتطبيق روابط IAM:

• المشاريع ( projects متغيرة)
• المنظمات (متغير organizations )
• المجلدات (متغير folders )
• حسابات الخدمة (متغير service_accounts )
• الشبكات الفرعية (متغير subnets )
• دلاء التخزين (متغير storage_buckets )
• موضوعات Pubsub (متغير pubsub_topics )
• اشتراكات Pubsub (متغير pubsub_subscriptions )
• حلقات المفاتيح بالكيلومترات (متغير kms_key_rings )
• مفاتيح تشفير Kms (متغير kms_crypto_keys )
• أسرار المدير السري (متغير secrets )
• مناطق DNS (متغير managed_zones )
• مدير المصدر الآمن ( entity_ids ومتغير location )

قم بتعيين المتغير المحدد في استدعاء الوحدة النمطية لاختيار الموارد التي سيتم التأثير عليها. تذكر تعيين متغير mode ومنح أذونات كافية لإدارة المورد المحدد أيضًا. لاحظ أن متغير bindings يقبل الخريطة الفارغة {} التي تم تمريرها كوسيطة في حالة عدم احتواء الموارد على روابط IAM لتطبيقها.

• تيرافورم >= 0.13.0
• تيرافورم-موفر-جوجل 2.5
• Terraform-provider-google-beta 2.5

من أجل تنفيذ وحدة فرعية، يجب أن يكون لديك حساب خدمة له دور مناسب لإدارة IAM للمورد القابل للتطبيق. ويختلف الدور المناسب بناءً على المورد الذي تستهدفه، كما يلي:

• منظمة:
  • مسؤول المؤسسة: الوصول لإدارة جميع الموارد التابعة للمؤسسة ولا يتضمن امتيازات الفوترة أو إدارة دور المؤسسة.
  • مخصص: إضافة أذونات Resourcesmanager.organizations.getIamPolicy وresourcemanager.organizations.setIamPolicy.
• مشروع:
  • المالك: حق الوصول الكامل وجميع الأذونات لجميع موارد المشروع.
  • مسؤول IAM للمشاريع: يسمح للمستخدمين بإدارة سياسات IAM في المشاريع.
  • مخصص: إضافة أذونات Resourcemanager.projects.getIamPolicy وresourcemanager.projects.setIamPolicy.
• المجلد:
  • مسؤول المجلد: جميع أذونات المجلد المتاحة.
  • مسؤول IAM للمجلد: يسمح للمستخدمين بإدارة سياسات IAM على المجلدات.
  • مخصص: أضف أذونات Resourcesmanager.folders.getIamPolicy وresourcemanager.folders.setIamPolicy (يجب إضافتها في المؤسسة).
• حساب الخدمة:
  • مسؤول حساب الخدمة: إنشاء وإدارة حسابات الخدمة.
  • مخصص: إضافة أذونات Resourcesmanager.organizations.getIamPolicy وresourcemanager.organizations.setIamPolicy.
• الشبكة الفرعية:
  • مسؤول حساب المشروع: التحكم الكامل في موارد Compute Engine.
  • مسؤول شبكة حساب المشروع: التحكم الكامل في موارد شبكة Compute Engine.
  • المشروع المخصص: قم بإضافة أذونات compute.subnetworks.getIamPolicy وcompute.subnetworks.setIamPolicy.
• دلو التخزين:
  • مسؤول التخزين: التحكم الكامل في موارد GCS.
  • مالك حاوية التخزين القديمة: الوصول للقراءة والكتابة إلى المجموعات الموجودة مع قائمة الكائنات/إنشاءها/حذفها.
  • مخصص: إضافة أذونات Storage.buckets.getIamPolicy وstorage.buckets.setIamPolicy.
• موضوع النشر:
  • مسؤول النشر/الفرعي: إنشاء حسابات الخدمة وإدارتها.
  • مخصص: أضف أذونات pubsub.topics.getIamPolicy وpusub.topics.setIamPolicy.
• الاشتراك في بوبسوب:
  • دور مسؤول النشر/الفرعي: إنشاء حسابات الخدمة وإدارتها.
  • الدور المخصص: أضف أذونات pubsub.subscriptions.getIamPolicy وpusub.subscriptions.setIamPolicy.
• كيلومتر حلقة رئيسية:
  • المالك: الوصول الكامل إلى جميع الموارد.
  • مسؤول Cloud KMS: يتيح إدارة موارد التشفير.
  • مخصص: أضف أذونات cloudkms.keyRings.getIamPolicy وcloudkms.keyRings.getIamPolicy.
• مفتاح تشفير الكيلومترات:
  • المالك: الوصول الكامل إلى جميع الموارد.
  • مسؤول Cloud KMS: يتيح إدارة مصادر التشفير.
  • مخصص: أضف أذونات cloudkms.cryptoKeys.getIamPolicy وcloudkms.cryptoKeys.setIamPolicy.
• المدير السري:
  • مسؤول المدير السري: الوصول الكامل لإدارة المدير السري.
  • مخصص: قم بإضافة أذونات Secretmanager.secrets.getIamPolicy وsecretmanager.secrets.setIamPolicy.
• منطقة DNS:
  • مسؤول DNS: الوصول الكامل لإدارة منطقة DNS.
  • مخصص: إضافة أذونات dns.managedZones.setIamPolicy وdns.managedZones.list وdns.managedZones.getIamPolicy.

تأكد من حصولك على إصدار Terraform الصحيح >= 1.3

تأكد من أن لديك المكونات الإضافية المجمعة على $HOME/.terraform.d/plugins/

• terraform-provider-google >= 5.37
• terraform-provider-google-beta >= 5.37

راجع كل صفحة مكون إضافي للحصول على مزيد من المعلومات حول كيفية تجميعها واستخدامها.