terraform IAM与云控制台IAM

Question

我正在使用Terraform google_project_iam_policy资源来管理项目的多个角色。

我注意到，当我期待某个角色时，它并不总是将一个成员从角色中移除--如果我使用云控制台将一个成员添加到一个项目的角色中，Terraform在我重新应用时不会删除它。我期望它按照地形资源的定义，将该成员从这一角色中删除。

我想了解这里发生了什么:地形能区分这两者吗？云控制台/gcloud projects get-iam-policy中是否有我没有看到的未显示状态？

Answer 1

在使用AWS资源时，我并不指望terraform会这样做，但我不能说在google云上工作时是否存在差异。

您在控制台上创建的角色附件和用户不是由terraform管理的，那么terraform为什么要删除它呢？你应该能够在地形旁边创建资源，而不需要在下一次重新应用时销毁它们。如果您对受terraform管理的资源进行直接修改，它将恢复更改。

但是，例如，如果您创建一个安全组，并在terraform中创建一些规则，然后手动添加另一个规则，terraform将不会删除该规则，因为它不是由terraform管理的。