terraform google iam

这是子模块的集合，可以更轻松地非破坏性地管理 Google Cloud Platform 上资源的多个 IAM 角色：

• 工件注册表 IAM
• 审计配置
• BigQuery IAM
• 计费账户 IAM
• 云运行服务 IAM
• 自定义角色 IAM
• DNS 区域 IAM
• 文件夹 IAM
• KMS 加密密钥 IAM
• KMS_密钥环 IAM
• 组织 IAM
• 项目 IAM
• 发布订阅 IAM
• Pubsub 主题 IAM
• 秘密经理 IAM
• 服务账户 IAM
• 存储桶 IAM
• 子网 IAM
• 标签键 IAM
• 标签值 IAM
• 安全源管理器

该模块适用于 Terraform 1.3+ 并使用 Terraform 1.3+ 进行测试。如果您发现使用 Terraform >=1.3 不兼容，请提出问题。

以下指南可帮助升级：

• 4.0 -> 5.0
• 3.0 -> 4.0
• 2.0 -> 3.0

完整的示例位于示例文件夹中，但管理两个项目的角色的基本用法如下：

 module "projects_iam_bindings" {
  source  = " terraform-google-modules/iam/google//modules/projects_iam "
  version = " ~> 8.0 "

  projects = [ " project-123456 " , " project-9876543 " ]

  bindings = {
    " roles/storage.admin " = [
      " group:[email protected] " ,
      " user:[email protected] " ,
    ]

    " roles/compute.networkAdmin " = [
      " group:[email protected] " ,
      " user:[email protected] " ,
    ]

    " roles/compute.imageUser " = [
      " user:[email protected] " ,
    ]
  }
}

该模块还提供了一种权威模式，它将删除所有未通过 Terraform 分配的角色。这是使用权威模式来管理存储桶访问的示例：

 module "storage_buckets_iam_bindings" {
  source  = " terraform-google-modules/iam/google//modules/storage_buckets_iam "
  version = " ~> 8.0 "

  storage_buckets = [ " my-storage-bucket " ]

  mode = " authoritative "

  bindings = {
    " roles/storage.legacyBucketReader " = [
      " user:[email protected] " ,
      " group:[email protected] " ,
    ]

    " roles/storage.legacyBucketWriter " = [
      " user:[email protected] " ,
      " group:[email protected] " ,
    ]
  }
}

mode变量控制子模块的行为，默认情况下它设置为“additive”，可能的选项有：

• 附加：将成员添加到角色中，旧成员不会从该角色中删除。
• 权威：设置角色的成员（包括删除任何未列出的成员），未列出的角色不受影响。

在权威模式下，子模块完全控制模块中列出的 IAM 绑定。这意味着添加到模块外部角色的任何成员都将在下次 Terraform 运行时被删除。但是，模块中未列出的角色将不受影响。

在附加模式下，子模块不会影响现有的绑定。相反，模块中列出的任何成员都将添加到现有的 IAM 绑定集中。但是，模块中列出的成员完全受模块控制。这意味着，如果您通过模块添加绑定然后将其删除，则模块将正确处理删除角色绑定。

每个子模块在对 GCP 中的 IAM 绑定进行任何更改之前都会对某些变量执行操作。由于在子模块中广泛使用的for_each （更多信息）的限制，您可以向子模块提供的动态值类型存在一定的限制：

1. 动态实体（例如projects ）仅允许 1 个实体。
2. 如果您传递 2 个或更多实体（例如projects ），则配置必须是静态的，这意味着它不能使用任何其他资源的字段来获取实体名称（这包括通过random_id获取随机生成的哈希值）资源）。
3. 角色名称本身永远不可能是动态的。
4. 成员只有在authoritative模式下才可能是动态的。

您可以选择以下资源类型来应用 IAM 绑定：

• 项目（ projects变量）
• 组织（ organizations变量）
• 文件夹（ folders变量）
• 服务帐户（ service_accounts变量）
• 子网（ subnets变量）
• 存储桶（ storage_buckets变量）
• pubsub 主题（ pubsub_topics变量）
• Pubsub 订阅（ pubsub_subscriptions变量）
• Kms 密钥环（ kms_key_rings变量）
• Kms 加密密钥（ kms_crypto_keys变量）
• 秘密管理器秘密（ secrets变量）
• DNS 区域（ managed_zones变量）
• 安全源管理器（ entity_ids和location变量）

在模块调用上设置指定变量以选择要影响的资源。请记住设置mode变量并授予足够的权限来管理所选资源。请注意，在资源没有要应用的 IAM 绑定的情况下， bindings变量接受作为参数传入的空映射{} 。

• 地形 >= 0.13.0
• terraform-provider-google 2.5
• terraform-provider-google-beta 2.5

为了执行子模块，您必须拥有一个具有适当角色的服务帐户来管理适用资源的 IAM。适当的角色根据您的目标资源而有所不同，如下所示：

• 组织：
  • 组织管理员：有权管理属于组织的所有资源，但不包括计费或组织角色管理的权限。
  • 自定义：添加resourcemanager.organizations.getIamPolicy 和resourcemanager.organizations.setIamPolicy 权限。
• 项目：
  • 所有者：对项目所有资源的完全访问和所有权限。
  • 项目 IAM 管理员：允许用户管理项目的 IAM 策略。
  • 自定义：添加resourcemanager.projects.getIamPolicy和resourcemanager.projects.setIamPolicy权限。
• 文件夹：
  • 文件夹管理员：所有可用的文件夹权限。
  • 文件夹 IAM 管理员：允许用户管理文件夹的 IAM 策略。
  • 自定义：添加resourcemanager.folders.getIamPolicy和resourcemanager.folders.setIamPolicy权限（必须在组织中添加）。
• 服务帐号：
  • 服务帐户管理员：创建和管理服务帐户。
  • 自定义：添加resourcemanager.organizations.getIamPolicy 和resourcemanager.organizations.setIamPolicy 权限。
• 子网：
  • 项目计算管理员：完全控制 Compute Engine 资源。
  • 项目计算网络管理员：完全控制 Compute Engine 网络资源。
  • 项目自定义：添加compute.subnetworks.getIamPolicy和compute.subnetworks.setIamPolicy权限。
• 储物桶：
  • 存储管理员：完全控制 GCS 资源。
  • 旧存储桶所有者：通过对象列表/创建/删除对现有存储桶进行读写访问。
  • 自定义：添加 storage.buckets.getIamPolicy 和 storage.buckets.setIamPolicy 权限。
• 发布订阅主题：
  • Pub/Sub 管理员：创建和管理服务帐户。
  • 自定义：添加 pubsub.topics.getIamPolicy 和 pubsub.topics.setIamPolicy 权限。
• 发布订阅：
  • Pub/Sub 管理员角色：创建和管理服务帐户。
  • 自定义角色：添加 pubsub.subscriptions.getIamPolicy 和 pubsub.subscriptions.setIamPolicy 权限。
• 公里钥匙圈：
  • 所有者：对所有资源的完全访问权。
  • Cloud KMS Admin：启用加密资源管理。
  • 自定义：添加 cloudkms.keyRings.getIamPolicy 和 cloudkms.keyRings.getIamPolicy 权限。
• Kms 加密密钥：
  • 所有者：对所有资源的完全访问权限。
  • Cloud KMS Admin：启用加密资源管理。
  • 自定义：添加 cloudkms.cryptoKeys.getIamPolicy 和 cloudkms.cryptoKeys.setIamPolicy 权限。
• 秘密经理：
  • Secret Manager 管理员：具有管理 Secret Manager 的完全访问权限。
  • 自定义：添加secretmanager.secrets.getIamPolicy和secretmanager.secrets.setIamPolicy权限。
• DNS 区域：
  • DNS 管理员：具有管理 DNS 区域的完全访问权限。
  • 自定义：添加 dns.managementZones.setIamPolicy、dns.managementZones.list 和 dns.managementZones.getIamPolicy 权限。

确保您拥有正确的 Terraform 版本 >= 1.3

确保 $HOME/.terraform.d/plugins/ 上有已编译的插件

• terraform-provider-google >= 5.37
• terraform-provider-google-beta >= 5.37

有关如何编译和使用它们的更多信息，请参阅每个插件页面。