如何通过 Terraform 实施组织策略约束

【问题标题】:How Do I Implement Organization Policy Constraints Via Terraform如何通过 Terraform 实施组织策略约束
【发布时间】:2021-08-25 21:57:30
【问题描述】:

请注意,此问题是 Terraform 问题。

当我查看 GCP 存储桶权限时,我发现 Google 建议通过全局设置阻止公开访问其中的对象。 As described here,看来我应该启用 constraints/storage.publicAccessPrevention 但我不知道如何(a)在我的项目中通常或(b)专门通过 Terraform 用于存储桶。

【问题讨论】:

  • 这里的通用答案不如 Google 已经编写的文档。
  • @JohnHanley -- 好的,所以我想我不知何故没有沟通。问题是“我如何通过 Terraform 做到这一点”。我将修改描述部分以使其更清楚。

标签: google-cloud-platform terraform-provider-gcp


【解决方案1】:

在遵循纪尧姆的回应并专注于“组织政策”这两个词后,我找到了解决方案:

# turn off public access to storage in this project
# "Organization Policy Administrator" rights required for this to run
resource "google_project_organization_policy" "storage_public_access_prevention" {
  project = google_project.this.project_id
  constraint = "constraints/storage.publicAccessPrevention"

  boolean_policy {
    enforced = true
  }
}

【讨论】:

    【解决方案2】:

    这是一个组织策略,所以你需要去组织策略页面更改值,在项目、文件夹或组织上(所有从父配置继承的子资源)

    这里是一个工作的 terraform

    resource "google_organization_policy" "serial_port_policy" {
  org_id     = "<ORG ID>"
  constraint = "storage.publicAccessPrevention"

  boolean_policy {
    enforced = true
  }
}

    【讨论】:

    • 好的,所以我想我没有沟通。问题是“我如何通过 Terraform 做到这一点”。我将修改描述部分以使其更加清晰。
    • 但是,你关于这是一项组织政策的观点让我深思熟虑,我可以在 Terraform 中的哪个位置实现这一点——或者无法做到这一点。
    • 我错过了您问题的最新消息。对不起! Wellspring 的回答听起来不错
    • 在我发布了与我的解决方案类似的内容之后,我才注意到您的额外 Terraform sn-p。不过,我看到我们都在使用相同的示例代码,因为您的标题仍然是“serial_port_policy”,哈哈……再次感谢您为我指明了正确的方向。
    • 没问题。我也对其进行了测试,并且可以正常工作。快乐编码:)
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2012-01-28
    • 1970-01-01
    • 1970-01-01
    • 2015-04-27
    • 1970-01-01
    • 2021-02-11
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode