使用InSpec和远程状态处理分布式环境中的Terraform提供程序凭据

Question

考虑到这些用例，是否有人对如何处理AWS的Terraform凭据有任何很酷的想法：

• 分布式环境(prod/pre/qa/test/dev)，具有各个AWS帐户
• S3的所有环境的后端远程状态，在一个单一的AWS帐户
• 测试厨房中使用InSpec.

我的当前工作流需要根据操作更改AWS_ACCESS_KEY和AWS_SECRET_KEY：

• terraform init --需要访问S3后端远程
  • Non-functional --需要访问特定环境+远程状态
    • Non-functional(一组凭据不能同时访问env +远程state)

  )

• kitchen converge -需要访问测试环境+远程状态
  • Non-functional (与above)

相同的原因)

• kitchen verify -需要对测试environment.

的访问

想法

我希望我可以将远程状态存储在相应的环境帐户中，但是在Terraform backendbackend中似乎不支持变量

Answer 1

您将需要主帐户能够在每个env帐户上扮演一个角色来执行更改，而远程主帐户将保持所有状态。假设您有两个工作空间prod和dev，这是使用terraform worspaces的一个很好的方法，您可以尝试这样的方法：

variable "workspace_roles" {
  default = {
    dev  = "arn:aws:iam::<dev account id>:role/terra_role"
    prod = "arn:aws:iam::<prodaccount id>:role/terra_role"
  }
}

provider "aws" {
 assume_role = var.workspace_roles[terraform.workspace]
}