GCP“万能”服务帐户通过Terraform创建多个服务

Question

我使用GCP上的4-5服务运行一个应用程序，我主要是为了学习一些新的技能(包括GCP)，它不是一个商业应用程序，所以我运行它的免费学分，创建一个新的帐户，转移数据库并在那里运行。冲洗并重复。

最近，我一直在学习Terraform，因此我尝试创建和配置我的服务(例如，使用正确的配置来建立SQL数据库，创建带有env变量的云运行服务等等)。为了做到这一点，如果我使用帐户(如果一切都已经创建，那么这个帐户可以正常工作)，我就会经常遇到权限问题。

我应该如何创建一个“万能”的服务帐户，我可以使用它作为我从零开始创建GCP环境的地形的SA。SA本身并不需要通过Terraform创建(尽管这样做会很整洁)。我所需要的只是一个SA，我可以创建、下载和引用JSON，并创建我所有的GCP服务。

有可能吗？

Answer 1

我不知道你的背景，范围，要求和限制的细节。所以我的个人经历。

我使用一个云构建服务，它是在服务帐户中构建的。

应该在适当的项目中授予该服务帐户相关的权限(即owner角色)。这是一个“先决条件”。

然后，我创建一个cloudbuild.yaml文件，在其中初始化并应用一个terraform作业。

注意: terraform状态文件存储在GCS桶中。所以，这也是有准备的。

下面是cloudbuild.yaml文件一部分的一个示例：Terraform and Cloud Build