使用 Terraform 在 AWS 上的现有资源上更新和附加新属性

Question

我是 Terraform 的新手，很高兴能使用它。

我已经通过 Terraform 创建了 security group A，我想将 security group A 附加到 existing security group B 中。我试图弄清楚它看起来像 javascript 中的对象分配和传播运算符。

我想象如下，

data "aws_security_group" "A" {
  id = "<id>"
}

resource "aws_security_group" "A" {
  ...data.aws_security_group.A,
  ingress = [ ...data.aws_security_group.A.ingress]
}

这是我目前的想法，

resource "aws_security_group" "A" {
  vpc_id = var.a_vpc_id

  ingress = [module.eks.aws_security_group.cluster] // I only want to add this ingress into the existing ingress at security group A
  lifecycle = {
    ignore_changes = [
      ingress // ignore existing ingress
    ]
  }
}

是否有任何语法或调整来完成我想要的？任何参考和关键字都会让我开心。

---

（更新）几乎是真实的代码。

variable "internal_vpc_id" {
  default = "vpc-12345678"
}

module "eks" {
 ....
}

resource "aws_security_group" "internal" {
  vpc_id = var.internal_vpc_id
  
  ingress = [
               module.eks.aws_security_group.cluster,
               module.eks.aws_security_group.workers, 
               module.eks.aws_security_group_rule.cluster_egress_internet,
            module.eks.aws_security_group_rule.cluster_https_worker_ingress
            ]
  lifecycle {
    ignore_changes = [
      ingress
    ]
  }
}

Answer 1

我想将安全组 A 附加到现有的安全组 B

如果 SG B 不是由 AWS 使用 aws_security_group 管理，则您不能直接修改 terraform (TF) 中的 SG B。为此，您必须将import B 加入 TF。这将允许您对其进行修改。

为避免导入过程，您可以使用aws_security_group_rule。这只会创建一个需要的规则，并将其附加到现有的 SG B，即使它不是由 TF 管理的。

因此，使用aws_security_group_rule 你可以做（​​伪代码）：

data "aws_security_group" "B" {
  id = "SG-B-id"
}

resource "aws_security_group_rule" "ruleB" {
  type                       = "ingress"
  from_port                  = 0
  to_port                    = 65535
  protocol                   = "tcp"
  source_security_group_id   = aws_security_group.A.id
  security_group_id          = data.aws_security_group.B.id
}