terraform google iam

Ini adalah kumpulan submodul yang mempermudah pengelolaan beberapa peran IAM untuk sumber daya di Google Cloud Platform secara non-destruktif:

• IAM Registri Artefak
• Konfigurasi Audit
• BigQuery IAM
• Akun Penagihan IAM
• Layanan Cloud Run IAM
• IAM Peran Khusus
• IAM Zona DNS
• Folder IAM
• Kunci Kripto KMS IAM
• KMS_Dering Kunci IAM
• Organisasi IAM
• Proyek IAM
• Langganan Pubsub IAM
• Topik Pubsub IAM
• Manajer Rahasia IAM
• Akun Layanan IAM
• Bucket Penyimpanan IAM
• Subnet IAM
• Kunci Tag IAM
• Nilai Tag IAM
• Manajer Sumber Aman

Modul ini dimaksudkan untuk digunakan dengan Terraform 1.3+ dan diuji menggunakan Terraform 1.3+. Jika Anda menemukan ketidakcocokan menggunakan Terraform >=1.3, silakan buka masalah.

Panduan berikut tersedia untuk membantu peningkatan:

• 4.0 -> 5.0
• 3.0 -> 4.0
• 2.0 -> 3.0

Contoh lengkap ada di folder contoh, namun penggunaan dasarnya adalah sebagai berikut untuk mengelola peran pada dua proyek:

 module "projects_iam_bindings" {
  source  = " terraform-google-modules/iam/google//modules/projects_iam "
  version = " ~> 8.0 "

  projects = [ " project-123456 " , " project-9876543 " ]

  bindings = {
    " roles/storage.admin " = [
      " group:[email protected] " ,
      " user:[email protected] " ,
    ]

    " roles/compute.networkAdmin " = [
      " group:[email protected] " ,
      " user:[email protected] " ,
    ]

    " roles/compute.imageUser " = [
      " user:[email protected] " ,
    ]
  }
}

Modul ini juga menawarkan mode otoritatif yang akan menghapus semua peran yang tidak ditetapkan melalui Terraform. Ini adalah contoh penggunaan mode otoritatif untuk mengelola akses ke bucket penyimpanan:

 module "storage_buckets_iam_bindings" {
  source  = " terraform-google-modules/iam/google//modules/storage_buckets_iam "
  version = " ~> 8.0 "

  storage_buckets = [ " my-storage-bucket " ]

  mode = " authoritative "

  bindings = {
    " roles/storage.legacyBucketReader " = [
      " user:[email protected] " ,
      " group:[email protected] " ,
    ]

    " roles/storage.legacyBucketWriter " = [
      " user:[email protected] " ,
      " group:[email protected] " ,
    ]
  }
}

Variabel mode mengontrol perilaku submodul, secara default disetel ke "aditif", opsi yang memungkinkan adalah:

• aditif: tambahkan anggota ke peran, anggota lama tidak dihapus dari peran ini.
• otoritatif: menetapkan anggota peran (termasuk menghapus yang tidak terdaftar), peran yang tidak terdaftar tidak terpengaruh.

Dalam mode otoritatif, submodul mengambil kendali penuh atas pengikatan IAM yang tercantum dalam modul. Artinya, setiap anggota yang ditambahkan ke peran di luar modul akan dihapus saat Terraform dijalankan lagi. Namun, peran yang tidak tercantum dalam modul tidak akan terpengaruh.

Dalam mode aditif, submodul membiarkan pengikatan yang ada tidak terpengaruh. Sebaliknya, setiap anggota yang terdaftar dalam modul akan ditambahkan ke kumpulan pengikatan IAM yang sudah ada. Namun, anggota yang tercantum dalam modul dikontrol sepenuhnya oleh modul. Artinya, jika Anda menambahkan pengikatan melalui modul dan kemudian menghapusnya, modul akan menangani penghapusan pengikatan peran dengan benar.

Setiap submodul melakukan operasi pada beberapa variabel sebelum membuat perubahan apa pun pada binding IAM di GCP. Karena keterbatasan for_each (info lebih lanjut), yang banyak digunakan dalam submodul, ada batasan tertentu mengenai jenis nilai dinamis yang dapat Anda berikan ke submodul:

1. Entitas dinamis (misalnya projects ) hanya diperbolehkan untuk 1 entitas.
2. Jika Anda meneruskan 2 entitas atau lebih (misalnya projects ), konfigurasinya HARUS statis, artinya konfigurasi tersebut tidak dapat menggunakan bidang sumber daya lain mana pun untuk mendapatkan nama entitas (ini termasuk mendapatkan hash yang dihasilkan secara acak melalui random_id sumber).
3. Nama peran itu sendiri tidak pernah bersifat dinamis.
4. Anggota hanya boleh dinamis dalam mode authoritative .

Anda dapat memilih jenis sumber daya berikut untuk menerapkan pengikatan IAM:

• Proyek (variabel projects )
• Organisasi (variabel organizations )
• Folder (variabel folders )
• Akun Layanan (variabel service_accounts )
• Subnetwork (variabel subnets )
• Keranjang penyimpanan (variabel storage_buckets )
• Topik pubsub (variabel pubsub_topics )
• Langganan pubsub (variabel pubsub_subscriptions )
• Gantungan Kunci Kms (variabel kms_key_rings )
• Kunci Kripto Kms (variabel kms_crypto_keys )
• Rahasia Manajer Rahasia (variabel secrets )
• Zona DNS (variabel managed_zones )
• Manajer Sumber Aman ( entity_ids dan variabel location )

Tetapkan variabel tertentu pada panggilan modul untuk memilih sumber daya yang akan terpengaruh. Ingatlah untuk mengatur variabel mode dan memberikan izin yang cukup untuk mengelola sumber daya yang dipilih juga. Perhatikan bahwa variabel bindings menerima map {} kosong yang diteruskan sebagai argumen jika sumber daya tidak memiliki binding IAM untuk diterapkan.

• Terraform >= 0.13.0
• terraform-penyedia-google 2.5
• penyedia-terraform-google-beta 2.5

Untuk menjalankan submodul, Anda harus memiliki Akun Layanan dengan peran yang sesuai untuk mengelola IAM untuk sumber daya yang berlaku. Peran yang sesuai berbeda-beda bergantung pada sumber daya yang Anda targetkan, sebagai berikut:

• Organisasi:
  • Administrator Organisasi: Akses untuk mengelola semua sumber daya milik organisasi dan tidak termasuk hak istimewa untuk penagihan atau administrasi peran organisasi.
  • Khusus: Tambahkan izin resourcemanager.organizations.getIamPolicy dan resourcemanager.organizations.setIamPolicy.
• Proyek:
  • Pemilik: Akses penuh dan semua izin untuk semua sumber daya proyek.
  • Admin IAM Proyek: memungkinkan pengguna untuk mengelola kebijakan IAM pada proyek.
  • Khusus: Tambahkan izin resourcemanager.projects.getIamPolicy dan resourcemanager.projects.setIamPolicy.
• Map:
  • Admin Folder: Semua izin folder yang tersedia.
  • Admin IAM Folder: Memungkinkan pengguna untuk mengelola kebijakan IAM pada folder.
  • Kustom: Tambahkan izin resourcemanager.folders.getIamPolicy dan resourcemanager.folders.setIamPolicy (harus ditambahkan di organisasi).
• Akun Layanan:
  • Admin Akun Layanan: Membuat dan mengelola akun layanan.
  • Khusus: Tambahkan izin resourcemanager.organizations.getIamPolicy dan resourcemanager.organizations.setIamPolicy.
• Subjaringan:
  • Admin komputasi proyek: Kontrol penuh atas sumber daya Compute Engine.
  • Admin jaringan komputasi proyek: Kontrol penuh atas resource jaringan Compute Engine.
  • Kustom proyek: Tambahkan izin compute.subnetworks.getIamPolicy dan compute.subnetworks.setIamPolicy.
• Ember penyimpanan:
  • Admin Penyimpanan: Kontrol penuh atas sumber daya GCS.
  • Pemilik Bucket Lama Penyimpanan: Akses baca dan tulis ke bucket yang ada dengan daftar/pembuatan/penghapusan objek.
  • Khusus: Tambahkan izin storage.buckets.getIamPolicy dan storage.buckets.setIamPolicy.
• Topik pubsub:
  • Admin Pub/Sub: Membuat dan mengelola akun layanan.
  • Khusus: Tambahkan izin pubsub.topics.getIamPolicy dan pubsub.topics.setIamPolicy.
• Langganan pubsub:
  • Peran Admin Pub/Sub: Membuat dan mengelola akun layanan.
  • Peran khusus: Tambahkan izin pubsub.subscriptions.getIamPolicy dan pubsub.subscriptions.setIamPolicy.
• Gantungan Kunci Kms:
  • Pemilik: Akses penuh ke semua sumber daya.
  • Admin Cloud KMS: Memungkinkan pengelolaan sumber daya kripto.
  • Khusus: Tambahkan izin cloudkms.keyRings.getIamPolicy dan cloudkms.keyRings.getIamPolicy.
• Kunci Kripto Kms:
  • Pemilik: Akses penuh ke semua sumber daya.
  • Admin Cloud KMS: Memungkinkan pengelolaan sumber daya kripto.
  • Khusus: Tambahkan izin cloudkms.cryptoKeys.getIamPolicy dan cloudkms.cryptoKeys.setIamPolicy.
• Manajer Rahasia:
  • Admin Manajer Rahasia: Akses penuh untuk mengelola Manajer Rahasia.
  • Khusus: Tambahkan izin secretmanager.secrets.getIamPolicy dan secretmanager.secrets.setIamPolicy.
• Zona DNS:
  • Administrator DNS : Akses penuh untuk mengelola Zona DNS.
  • Khusus: Tambahkan izin dns.managedZones.setIamPolicy, dns.managedZones.list, dan dns.managedZones.getIamPolicy.

Pastikan Anda memiliki versi Terraform yang benar >= 1.3

Pastikan Anda memiliki plugin yang dikompilasi di $HOME/.terraform.d/plugins/

• terraform-penyedia-google >= 5.37
• penyedia-terraform-google-beta >= 5.37

Lihat setiap halaman plugin untuk informasi lebih lanjut tentang cara mengkompilasi dan menggunakannya.