terraform google iam

これは、Google Cloud Platform 上のリソースに対する複数の IAM ロールを非破壊的に管理することを容易にするサブモジュールのコレクションです。

• アーティファクト レジストリ IAM
• 監査構成
• BigQuery IAM
• 請求先アカウント IAM
• Cloud Run サービス IAM
• カスタムロールIAM
• DNSゾーンIAM
• フォルダー IAM
• KMS 暗号キー IAM
• KMS_キーリング IAM
• 組織IAM
• プロジェクトIAM
• Pub/Sub サブスクリプション IAM
• PubSub トピック IAM
• シークレットマネージャー IAM
• サービスアカウントIAM
• ストレージ バケット IAM
• サブネットIAM
• タグキー IAM
• タグ値 IAM
• セキュアソースマネージャー

このモジュールは Terraform 1.3 以降で使用することを目的としており、Terraform 1.3 以降を使用してテストされています。 Terraform >=1.3 を使用して非互換性を見つけた場合は、問題を報告してください。

アップグレードに役立つ次のガイドが利用可能です。

• 4.0 -> 5.0
• 3.0 -> 4.0
• 2.0 -> 3.0

完全な例は example フォルダーにありますが、2 つのプロジェクトのロールを管理するための基本的な使用法は次のとおりです。

 module "projects_iam_bindings" {
  source  = " terraform-google-modules/iam/google//modules/projects_iam "
  version = " ~> 8.0 "

  projects = [ " project-123456 " , " project-9876543 " ]

  bindings = {
    " roles/storage.admin " = [
      " group:[email protected] " ,
      " user:[email protected] " ,
    ]

    " roles/compute.networkAdmin " = [
      " group:[email protected] " ,
      " user:[email protected] " ,
    ]

    " roles/compute.imageUser " = [
      " user:[email protected] " ,
    ]
  }
}

このモジュールは、Terraform を通じて割り当てられていないすべてのロールを削除する権限モードも提供します。これは、権限モードを使用してストレージ バケットへのアクセスを管理する例です。

 module "storage_buckets_iam_bindings" {
  source  = " terraform-google-modules/iam/google//modules/storage_buckets_iam "
  version = " ~> 8.0 "

  storage_buckets = [ " my-storage-bucket " ]

  mode = " authoritative "

  bindings = {
    " roles/storage.legacyBucketReader " = [
      " user:[email protected] " ,
      " group:[email protected] " ,
    ]

    " roles/storage.legacyBucketWriter " = [
      " user:[email protected] " ,
      " group:[email protected] " ,
    ]
  }
}

mode変数はサブモジュールの動作を制御します。デフォルトでは「additive」に設定されており、可能なオプションは次のとおりです。

• 追加: メンバーをロールに追加します。古いメンバーはこのロールから削除されません。
• authoritative: ロールのメンバーを設定します (リストされていないロールの削除を含む)。リストされていないロールは影響を受けません。

権限モードでは、サブモジュールがモジュールにリストされている IAM バインディングを完全に制御します。これは、モジュール外のロールに追加されたメンバーは、次回 Terraform を実行するときに削除されることを意味します。ただし、モジュールにリストされていないロールは影響を受けません。

追加モードでは、サブモジュールは既存のバインディングに影響を与えません。代わりに、モジュールにリストされているメンバーはすべて、IAM バインディングの既存のセットに追加されます。ただし、モジュールにリストされているメンバーはモジュールによって完全に制御されます。これは、モジュールを介してバインディングを追加し、後でそれを削除した場合、モジュールはロール バインディングの削除を正しく処理することを意味します。

各サブモジュールは、GCP の IAM バインディングに変更を加える前に、いくつかの変数に対して操作を実行します。サブモジュールで広く使用されているfor_each (詳細) の制限のため、サブモジュールに提供できる動的値の種類には特定の制限があります。

1. 動的エンティティ ( projectsなど) は 1 つのエンティティのみに許可されます。
2. 2 つ以上のエンティティ ( projectsなど) を渡す場合、設定は静的である必要があります。つまり、エンティティ名の取得に他のリソースのフィールドを使用することはできません (これには、 random_idを介してランダムに生成されたハッシュを取得することも含まれます)リソース）。
3. ロール名自体を動的にすることはできません。
4. メンバーはauthoritativeモードでのみ動的になれます。

次のリソース タイプを選択して IAM バインディングを適用できます。

• プロジェクト ( projects変数)
• 組織( organizations変数)
• フォルダー ( folders変数)
• サービス アカウント ( service_accounts変数)
• サブネットワーク ( subnets変数)
• ストレージ バケット ( storage_buckets変数)
• Pubsub トピック ( pubsub_topics変数)
• Pubsub サブスクリプション ( pubsub_subscriptions変数)
• Kms キー リング ( kms_key_rings変数)
• Kms 暗号キー ( kms_crypto_keys変数)
• Secret Manager のシークレット ( secrets変数)
• DNS ゾーン ( managed_zones変数)
• Secure Source Manager ( entity_idsおよびlocation変数)

モジュール呼び出しで指定された変数を設定して、影響を与えるリソースを選択します。必ずmode変数を設定し、選択したリソースを管理するための十分な権限を付与してください。リソースに適用する IAM バインディングがない場合、 bindings変数は引数として渡される空のマップ{}を受け入れることに注意してください。

• Terraform >= 0.13.0
• terraform プロバイダー Google 2.5
• terraform-provider-google-beta 2.5

サブモジュールを実行するには、該当するリソースの IAM を管理するための適切なロールを持つサービス アカウントが必要です。適切なロールは、次のように、対象とするリソースによって異なります。

• 組織：
  • 組織管理者: 組織に属するすべてのリソースを管理するためのアクセス権。請求や組織の役割の管理の権限は含まれません。
  • カスタム: resourcemanager.organizations.getIamPolicy 権限と resourcemanager.organizations.setIamPolicy 権限を追加します。
• プロジェクト：
  • 所有者: プロジェクトのすべてのリソースに対するフルアクセスとすべての権限。
  • プロジェクト IAM 管理者: ユーザーがプロジェクトの IAM ポリシーを管理できるようにします。
  • カスタム: resourcemanager.projects.getIamPolicy 権限と resourcemanager.projects.setIamPolicy 権限を追加します。
• フォルダ：
  • フォルダー管理者: 利用可能なすべてのフォルダー権限。
  • フォルダー IAM 管理者: ユーザーがフォルダーに対する IAM ポリシーを管理できるようにします。
  • カスタム: resourcemanager.folders.getIamPolicy 権限と resourcemanager.folders.setIamPolicy 権限を追加します (組織に追加する必要があります)。
• サービスアカウント:
  • サービス アカウント管理者: サービス アカウントを作成および管理します。
  • カスタム: resourcemanager.organizations.getIamPolicy 権限と resourcemanager.organizations.setIamPolicy 権限を追加します。
• サブネットワーク:
  • プロジェクト コンピューティング管理者: Compute Engine リソースを完全に制御します。
  • プロジェクト コンピューティング ネットワーク管理者: Compute Engine ネットワーク リソースを完全に制御します。
  • プロジェクト カスタム: compute.subnetworks.getIamPolicy 権限と compute.subnetworks.setIamPolicy 権限を追加します。
• ストレージバケット:
  • ストレージ管理者: GCS リソースを完全に制御します。
  • ストレージレガシーバケット所有者: オブジェクトのリスト/作成/削除による既存のバケットへの読み取りおよび書き込みアクセス。
  • カスタム: storage.buckets.getIamPolicy 権限と storage.buckets.setIamPolicy 権限を追加します。
• パブリッシュサブトピック:
  • Pub/Sub 管理者: サービス アカウントを作成および管理します。
  • カスタム: pubsub.topics.getIamPolicy および pubsub.topics.setIamPolicy 権限を追加します。
• Pub/Sub サブスクリプション:
  • Pub/Sub 管理者ロール: サービス アカウントを作成および管理します。
  • カスタム ロール: pubsub.subscriptions.getIamPolicy および pubsub.subscriptions.setIamPolicy 権限を追加します。
• KMS キーホルダー:
  • 所有者: すべてのリソースへのフルアクセス。
  • Cloud KMS 管理者: 暗号リソースの管理を可能にします。
  • カスタム:cloudkms.keyRings.getIamPolicy 権限と cloudkms.keyRings.getIamPolicy 権限を追加します。
• KMS 暗号キー:
  • 所有者: すべてのリソースへのフルアクセス。
  • Cloud KMS 管理者: 暗号リソースの管理を可能にします。
  • カスタム:cloudkms.cryptoKeys.getIamPolicy 権限と cloudkms.cryptoKeys.setIamPolicy 権限を追加します。
• シークレットマネージャー:
  • Secret Manager 管理者: Secret Manager を管理するためのフル アクセス。
  • カスタム: Secretmanager.secrets.getIamPolicy および Secretmanager.secrets.setIamPolicy 権限を追加します。
• DNS ゾーン:
  • DNS 管理者 : DNS ゾーンを管理するためのフルアクセス。
  • カスタム: dns.managedZones.setIamPolicy、dns.managedZones.list、および dns.managedZones.getIamPolicy 権限を追加します。

Terraform バージョンが 1.3 以上であることを確認してください。

コンパイルされたプラグインが $HOME/.terraform.d/plugins/ にあることを確認してください。

• terraform-provider-google >= 5.37
• terraform-provider-google-beta >= 5.37

コンパイル方法と使用方法の詳細については、各プラグインのページを参照してください。