如何将策略附加到资源(在本例中是PubSub主题)？

Question

resource "google_pubsub_topic" "topic" {
  name   = "argo-events"
}

resource "google_service_account" "argo_events_pubsub_publish" {
  account_id   = "pubsub-publish"
}

resource "google_project_iam_member" "argo_events_pubsub_publish" {
  role   = "roles/pubsub.editor"
  member = "serviceAccount:${google_service_account.argo_events_pubsub_publish.email}"
}

这将创建一个对项目的所有PubSub基础结构具有编辑器权限的服务帐户。

如何将策略(由服务帐户+角色/pubsub.Editor产生)附加到最初创建的主题？

(这样，服务帐户具有来自roles/pubsub.editor的权限，但只对最初创建的主题“argo-events”具有权限)。

这一问题是在假设terraform实施类似于GCP的一般概念的政策附件的前提下提出的。

Answer 1

有几种方法可以将策略附加到主题或订阅。有趣的是，这种方法不是泛型的，而是特定于您想要绑定到的资源(在本例中是一个公共子主题)，并且至少有三种方法可以这样做：

• https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/pubsub_topic_iam
• https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/pubsub_subscription_iam

在这种情况下，解决方案可能如下所示：

data "google_iam_policy" "topic" {
  binding {
    role = "roles/pubsub.publisher"
    members = [
      "serviceAccount:${google_service_account.argo_events_pubsub_publish.email}",
    ]
  }
}

resource "google_pubsub_topic_iam_policy" "policy" {
  topic = google_pubsub_topic.topic.name
  policy_data = data.google_iam_policy.topic.policy_data
}