个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我在使用 iam_policy 资源类型时遇到问题,但又在 terraform destroy 上被锁定。这适用于 google_storage_bucket_iam_policy 和 google_project_iam_policy 等资源类型。
此示例适用于 google_storage_bucket_iam_policy 资源。假设我有一个所有者列表以及 terraform 使用的服务帐户,该帐户被授予 roles/storage.admin 角色。
resource "google_storage_bucket" "default" {
name = "default"
location = "EU"
}
resource "google_storage_bucket_iam_role" "owners" {
bucket = "default"
binding {
role = "roles/storage.admin"
members = [
"${var.owners}",
"${var.serviceAccount}"
]
}
}
资源创建的顺序是先存储桶,再创建策略。当然,destroy 操作会按相反的顺序处理资源 - 首先是策略,然后是存储桶。但是,删除策略后,服务帐户没有足够的权限来删除存储桶。
也许一种解决方法是为所有者使用 google_storage_bucket_iam_member 资源,但是这种方法看起来不太干净,因为它继承了之前在项目中定义的任何内容,这可能会非常困惑。
顺便说一句,相同的逻辑适用于项目级别的资源 google_project_iam_policy。提前致谢。
最佳答案
您可以创建显式依赖项,它将:
这是添加了 depends_on 的示例:
resource "google_storage_bucket" "default" {
name = "default"
location = "EU"
depends_on = ["google_storage_bucket_iam_role.owners"]
}
resource "google_storage_bucket_iam_role" "owners" {
bucket = "default"
binding {
role = "roles/storage.admin"
members = [
"${var.owners}",
"${var.serviceAccount}"
]
}
}
关于google-cloud-platform - Terraform:如何在不锁定自己的情况下使用 iam_policy,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51301316/
24
4
0
我在使用 iam_policy 资源类型时遇到问题,但又在 terraform destroy 上被锁定。这适用于 google_storage_bucket_iam_policy 和 google_
我是一名优秀的程序员,十分优秀!