我想知道是否可以通过Ansible将自定义角色绑定到GCP IAM用户。
我有一本剧本可以成功创建一个自定义角色,另一本剧本可以单独创建一个服务帐户,但后者没有权限字段。另外,在这里(https://docs.ansible.com/ansible/latest/modules/list_of_all_modules.html)中找不到与创建策略相关的任何模块,就像它们对AWS一样。
如果有帮助,这些剧本可以在塔上运行。我知道可以使用terraform模板完成此操作,但对于我来说,在某些情况下,我将不得不尝试通过ansible来完成所有操作。想看看是否被探索了。搜索可以显示更多面向政策的东西以及政策手册等。
谢谢。
我拥有的示例剧本是:
- name: create a role
gcp_iam_role:
name: myCustomRole1
title: custom_role_ansible_1
description: Custom role test 1
included_permissions:
- storage.objects.list
- iam.roles.list
- iam.roles.create
- iam.roles.delete
project: project-name
state: present
- name: create a service account
gcp_iam_service_account:
name: sa-{{ resource_name.split("-")[-1] }}@graphite-playground.google.com.iam.gserviceaccount.com
display_name: My Ansible test key
project: project-name
#auth_kind: serviceaccount
#service_account_file: "/tmp/auth.pem"
state: present
答案 0 :(得分:0)
这目前是不可能的。 在以 Ansible 原生方式实现之前,您可以使用 shell 解决方法。
包含更多详细信息和 shell 示例的源代码: https://github.com/ansible-collections/google.cloud/issues/238