Google CloudSQL - 如何删除由 terraform 创建的超级用户权限
[英]Google CloudSQL - How to remove remove superuser permissions created by terraform
问题描述
我正在使用 terraform 创建 cloudsql 用户。
resource "google_sql_user" "postgresql" {
for_each = toset(var.db_user_name)
name = each.value
project = var.app_project
instance = google_sql_database_instance.postgresql.name
password = var.db_user_password
}
它创建用户,但具有Create role, Create DB角色和cloudsqlsuperuser的成员。 我只想创建 BuildIn 用户,而不是使用 IAM 用户或 IAM 服务帐户。 我们可以稍后使用以下资源撤销这些角色和成员资格吗? 如果不使用 postgresql 提供程序,可以使用community.postgresql.postgresql_privs ansible 模块来实现。
terraform {
required_providers {
postgresql = {
source = "cyrilgdn/postgresql"
version = ">=1.4.0"
}
}
}
provider "postgresql" {
#scheme = "gcppostgres"
host = var.postgres_host
username = "postgres"
password = "pass"
superuser = false
expected_version = "10.1"
alias = "postgres"
}
resource "postgresql_grant" "readwrite" {
provider = postgresql.postgres
for_each = { for role in var.roles : "${role.role}-${role.database}-${role.object_type}-${role.schema}" => role if role.object_type != "default_privs" }
role = each.value.role
database = each.value.database
object_type = each.value.object_type
objects = (each.value.object_type == "database" || each.value.object_type == "schema") ? [] : each.value.objects
schema = each.value.schema
privileges = each.value.privileges
}
variable "roles" {
type = list(object({
role = string
database = string
object_type = string
obj_t = string
objects = list(string)
schema = string
privileges = list(string)
}))
}
1 个解决方案
解决方案1
0 2022-12-17 03:37:10
当您通过 Cloud SQL API(Terraform 用于创建它的 API)创建用户时,它将始终是超级用户。
删除超级用户权限或在任何情况下创建具有自定义权限的用户的唯一方法是登录数据库并在那里创建用户,所以是的,使用community.postgresql.postgresql_privs可能是个好主意。
Google Cloud CloudSQL 实例无法使用 Terraform 提供程序创建,并出现错误“未找到每产品每项目服务帐户”
[英]Google Cloud CloudSQL Instance Fails To Create using Terraform Provider With Error "Per-Product Per-Project Service Account is not found"
尝试使用 cloudrun 实例上的 unix 套接字连接到 Google CloudSQL 时,如何获取 IAM 用户的用户名?
[英]How do I get the username for the IAM user when trying to connect to Google CloudSQL using a unix socket on a cloudrun instance?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何从 Terraform 中的 GCP 集群中删除外部 IP
Google Cloud CloudSQL 实例无法使用 Terraform 提供程序创建,并出现错误“未找到每产品每项目服务帐户”
GCP:使用 Terraform 从服务帐户中删除 IAM 策略
如何从谷歌翻译中删除或隐藏由文本提供支持
在 postgres 谷歌云中将用户升级为超级用户
尝试使用 cloudrun 实例上的 unix 套接字连接到 Google CloudSQL 时,如何获取 IAM 用户的用户名?
如何删除 XML 中无关紧要的空格?
如何从 Gitlab 中完全删除旧提交?
如何使用 gcp auth 插件删除 kubectl 中的警告?
如何从 Firebase 存储中删除图像?
相关标签