terraform google iam

這是子模組的集合，可以更輕鬆地非破壞性地管理 Google Cloud Platform 上資源的多個 IAM 角色：

• 工件註冊表 IAM
• 審計配置
• BigQuery IAM
• 計費帳戶 IAM
• 雲端運行服務 IAM
• 自訂角色 IAM
• DNS 區域 IAM
• 資料夾 IAM
• KMS 加密金鑰 IAM
• KMS_密鑰環 IAM
• 組織 IAM
• 項目 IAM
• 發布訂閱 IAM
• Pubsub 主題 IAM
• 秘密經理 IAM
• 服務帳戶 IAM
• 儲存桶 IAM
• 子網路 IAM
• 標籤鍵 IAM
• 標籤值 IAM
• 安全源管理器

此模組適用於 Terraform 1.3+ 並使用 Terraform 1.3+ 進行測試。如果您發現使用 Terraform >=1.3 不相容，請提出問題。

以下指南可協助升級：

• 4.0 -> 5.0
• 3.0 -> 4.0
• 2.0 -> 3.0

完整的範例位於範例資料夾中，但管理兩個專案的角色的基本用法如下：

 module "projects_iam_bindings" {
  source  = " terraform-google-modules/iam/google//modules/projects_iam "
  version = " ~> 8.0 "

  projects = [ " project-123456 " , " project-9876543 " ]

  bindings = {
    " roles/storage.admin " = [
      " group:[email protected] " ,
      " user:[email protected] " ,
    ]

    " roles/compute.networkAdmin " = [
      " group:[email protected] " ,
      " user:[email protected] " ,
    ]

    " roles/compute.imageUser " = [
      " user:[email protected] " ,
    ]
  }
}

該模組還提供了一種權威模式，它將刪除所有未透過 Terraform 分配的角色。這是使用權威模式來管理儲存桶存取的範例：

 module "storage_buckets_iam_bindings" {
  source  = " terraform-google-modules/iam/google//modules/storage_buckets_iam "
  version = " ~> 8.0 "

  storage_buckets = [ " my-storage-bucket " ]

  mode = " authoritative "

  bindings = {
    " roles/storage.legacyBucketReader " = [
      " user:[email protected] " ,
      " group:[email protected] " ,
    ]

    " roles/storage.legacyBucketWriter " = [
      " user:[email protected] " ,
      " group:[email protected] " ,
    ]
  }
}

mode變數控制子模組的行為，預設情況下它設定為“additive”，可能的選項有：

• 附加：將成員新增至角色中，舊成員不會從該角色中刪除。
• 權威：設定角色的成員（包括刪除任何未列出的成員），未列出的角色不受影響。

在權威模式下，子模組完全控制模組中列出的 IAM 綁定。這意味著添加到模組外部角色的任何成員都將在下次 Terraform 運行時被刪除。但是，模組中未列出的角色將不受影響。

在附加模式下，子模組不會影響現有的綁定。相反，模組中列出的任何成員都會新增到現有的 IAM 綁定集中。但是，模組中列出的成員完全受模組控制。這意味著，如果您透過模組新增綁定然後將其刪除，則模組將正確處理刪除角色綁定。

每個子模組在對 GCP 中的 IAM 綁定進行任何變更之前都會對某些變數執行操作。由於在子模組中廣泛使用的for_each （更多資訊）的限制，您可以向子模組提供的動態值類型存在一定的限制：

1. 動態實體（例如projects ）僅允許 1 個實體。
2. 如果您傳遞 2 個或更多實體（例如projects ），則配置必須是靜態的，這表示它不能使用任何其他資源的欄位來取得實體名稱（這包括透過random_id取得隨機產生的雜湊值）資源）。
3. 角色名稱本身永遠不可能是動態的。
4. 成員只有在authoritative模式下才可能是動態的。

您可以選擇下列資源類型來套用 IAM 綁定：

• 項目（ projects變數）
• 組織（ organizations變數）
• 資料夾（ folders變數）
• 服務帳戶（ service_accounts變數）
• 子網路（ subnets變數）
• 儲存桶（ storage_buckets變數）
• pubsub 主題（ pubsub_topics變數）
• Pubsub 訂閱（ pubsub_subscriptions變數）
• Kms 密鑰環（ kms_key_rings變數）
• Kms 加密金鑰（ kms_crypto_keys變數）
• 秘密管理器秘密（ secrets變數）
• DNS 區域（ managed_zones變數）
• 安全來源管理員（ entity_ids和location變數）

在模組呼叫上設定指定變數以選擇要影響的資源。請記住設定mode變數並授予足夠的權限來管理所選資源。請注意，在資源沒有要應用的 IAM 綁定的情​​況下， bindings變數接受作為參數傳入的空映射{} 。

• 地形 >= 0.13.0
• terraform-provider-google 2.5
• terraform-provider-google-beta 2.5

為了執行子模組，您必須擁有一個具有適當角色的服務帳戶來管理適用資源的 IAM。適當的角色會根據您的目標資源而有所不同，如下所示：

• 組織：
  • 組織管理員：有權管理屬於組織的所有資源，但不包括計費或組織角色管理的權限。
  • 自訂：新增resourcemanager.organizations.getIamPolicy 和resourcemanager.organizations.setIamPolicy 權限。
• 專案:
  • 所有者：對專案所有資源的完全存取和所有權限。
  • 專案 IAM 管理員：允許使用者管理專案的 IAM 策略。
  • 自訂：新增resourcemanager.projects.getIamPolicy和resourcemanager.projects.setIamPolicy權限。
• 資料夾：
  • 資料夾管理員：所有可用的資料夾權限。
  • 資料夾 IAM 管理員：允許使用者管理資料夾的 IAM 策略。
  • 自訂：新增resourcemanager.folders.getIamPolicy和resourcemanager.folders.setIamPolicy權限（必須在組織中新增）。
• 服務帳號：
  • 服務帳戶管理員：建立和管理服務帳戶。
  • 自訂：新增resourcemanager.organizations.getIamPolicy 和resourcemanager.organizations.setIamPolicy 權限。
• 子網路：
  • 專案計算管理員：完全控制 Compute Engine 資源。
  • 專案計算網路管理員：完全控制 Compute Engine 網路資源。
  • 專案自訂：新增compute.subnetworks.getIamPolicy和compute.subnetworks.setIamPolicy權限。
• 儲物桶：
  • 儲存管理員：完全控制 GCS 資源。
  • 舊儲存桶擁有者：透過物件清單/建立/刪除對現有儲存桶進行讀寫存取。
  • 自訂：新增 storage.buckets.getIamPolicy 和 storage.buckets.setIamPolicy 權限。
• 發布訂閱主題：
  • Pub/Sub 管理員：建立和管理服務帳戶。
  • 自訂：新增 pubsub.topics.getIamPolicy 和 pubsub.topics.setIamPolicy 權限。
• 發布訂閱：
  • Pub/Sub 管理員角色：建立和管理服務帳戶。
  • 自訂角色：新增 pubsub.subscriptions.getIamPolicy 和 pubsub.subscriptions.setIamPolicy 權限。
• 公里鑰匙圈：
  • 所有者：對所有資源的完全存取權。
  • Cloud KMS Admin：啟用加密資源管理。
  • 自訂：新增 cloudkms.keyRings.getIamPolicy 和 cloudkms.keyRings.getIamPolicy 權限。
• Kms 加密金鑰：
  • 所有者：對所有資源的完全存取權。
  • Cloud KMS Admin：啟用加密資源管理。
  • 自訂：新增 cloudkms.cryptoKeys.getIamPolicy 和 cloudkms.cryptoKeys.setIamPolicy 權限。
• 秘密經理：
  • Secret Manager 管理員：具有管理 Secret Manager 的完全存取權。
  • 自訂：新增secretmanager.secrets.getIamPolicy和secretmanager.secrets.setIamPolicy權限。
• DNS 區域：
  • DNS 管理員：具有管理 DNS 區域的完全存取權。
  • 自訂：新增 dns.managementZones.setIamPolicy、dns.managementZones.list 和 dns.managementZones.getIamPolicy 權限。

確保您擁有正確的 Terraform 版本 >= 1.3

確保 $HOME/.terraform.d/plugins/ 上有已編譯的插件

• terraform-provider-google >= 5.37
• terraform-provider-google-beta >= 5.37

有關如何編譯和使用它們的更多信息，請參閱每個插件頁面。