如何使用多個AWS賬戶在環境之間隔離terraform state
[英]How to use multiple AWS account to isolate terraform state between environment
問題描述
我該如何使用指向不同 AWS 賬戶的 s3 后端?
換句話說,我想要這樣的東西:
AWS 賬戶 A 中 S3 存儲桶上的開發環境 state
在 AWS 賬戶 B 上的另一個 S3 存儲桶上暫存環境 state
任何人都可以幫助我嗎?
3 個解決方案
解決方案1
17 2021-01-12 23:50:50
Terraform 的s3后端的文檔包括多賬戶 AWS 架構部分,其中包括在多賬戶 AWS 架構中使用 Terraform 的一些建議、建議和注意事項。
該指南比我在這里復制的要詳細得多,但推薦的要點是:
為 Terraform 和您用於預置和配置環境的任何其他管理工具使用單獨的 AWS 賬戶,以便 Terraform使用的基礎設施與 Terraform管理的基礎設施完全分開。
這降低了錯誤的 Terraform 配置無意中破壞您使用 Terraform 本身的能力的風險(例如,通過刪除 state object,或通過刪除必要的 IAM 權限)。 它還降低了攻擊者利用您的主要基礎設施中的漏洞升級以訪問您的管理基礎設施的可能性。
使用
sts:AssumeRole在您的每個主要環境 AWS 賬戶中間接訪問具有管理訪問權限的 IAM 角色。這使您可以將所有直接管理訪問集中在一個 AWS 賬戶中,您可以在其中更輕松地對其進行審核,減少憑據蔓延,還可以方便地為該跨賬戶訪問配置 AWS 提供商(因為它內置了
assume_role支持).
該指南還討論了使用工作空間來表示環境。 考慮到何時使用多個工作區中其他地方的指導,該建議可能更值得商榷,但使用管理帳戶和 IAM 委托的原則仍然適用,即使您遵循每個環境都有一個單獨的根模塊並使用共享模塊的建議表示公共元素。
與系統架構中的所有事物一樣,這些都不是絕對的,最適合您的情況將取決於您的詳細信息,但希望我鏈接到的這兩個文檔部分中的內容將幫助您權衡各種選項並決定什么是最適合您的具體情況。
解決方案2
6 2021-01-12 21:36:00
有幾個解決方案:
在運行時運行terraform init和 injec terraform 后端變量時,在命令行提供 aws 配置文件名稱:
AWS_PROFILE=aws-dev terraform init -backend-config="bucket=825df6bc4eef-state" \ -backend-config="dynamodb_table=825df6bc4eef-state-lock" \ -backend-config="key=terraform-multi-account/terraform.tfstate"
或將此命令包裝在Makefile中,因為它很長且容易忘記。
保留單獨的目錄並提供角色或您的憑據或配置文件名稱,即使使用共享憑據
provider "aws" { region = "us-west-2" shared_credentials_file = "/Users/tf_user/.aws/creds" profile = "customprofile" }
解決方案3
0 2022-02-22 02:50:08
我不認為現在沒有一些 hijinks 的情況下,每個工作區都有一個單獨的 S3 后端是不可能的。 如果您可以在一個帳戶中使用一個 S3 后端,那么很容易讓不同的帳戶與每個工作區相關聯。
# backend.tf
terraform {
backend "s3" {
profile = "default"
bucket = "my-terraform-state"
key = "terraform-multi-account-test/terraform.state"
region = "eu-west-1"
encrypt = true
dynamodb_table = "my-terraform-state-lock"
}
}
和
# provider.tf
variable "workspace_accounts" {
type = map(string)
default = {
"sandbox" = "my-sandbox-keys"
"dev" = "default"
"prod" = "default"
}
}
provider "aws" {
shared_credentials_file = "$HOME/.aws/credentials"
profile = var.workspace_accounts[terraform.workspace]
region = "eu-west-1"
}
Terraform - 如何在多個 AWS ecs_service 資源之間使用相同的負載均衡器?
[英]Terraform - how to use the same load balancer between multiple AWS ecs_service resources?
如何使用 Terraform 在一個 AWS WAF 規則中使用多個謂詞(條件)?
[英]How to Use Multiple Predicate ( Condition ) in one AWS WAF Rule with Terraform?
Terraform:如何確保我在預期的AWS賬戶上運行terraform
[英]Terraform: How to make sure I run terraform on the expected AWS account
如何將 Terraform object 放入 AWS Lambda 環境
[英]How to get a Terraform object into an AWS Lambda environment
使用 AWS 為多個環境設置單個賬戶的 Terraform
[英]Terraform setup using AWS with a single account for multiple environments
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何在 Terraform 中使用 AWS account_id 變量
Terraform - 如何在多個 AWS ecs_service 資源之間使用相同的負載均衡器?
AWS Codebuild 中的多個環境變量與 Terraform
使用 terraform 導入我的雲 AWS 帳戶的當前狀態
Terraform 從賬戶A獲取AWS數據並在賬戶B中使用
如何使用 Terraform 在一個 AWS WAF 規則中使用多個謂詞(條件)?
Terraform:如何確保我在預期的AWS賬戶上運行terraform
如何將 Terraform object 放入 AWS Lambda 環境
如何將 Terraform 狀態與我的 AWS 基礎設施同步
使用 AWS 為多個環境設置單個賬戶的 Terraform
相關標簽