Использование Terraform для создания учетной записи службы с ролями IAM

Question

Я пытаюсь создать базовую учетную запись службы с ролью roles/logging.logWriter IAM в Terraform. Вот как я это настроил:

resource "google_service_account" "log_user" {
  account_id   = "log-user"
  display_name = "Logging User"
}

data "google_iam_policy" "log_policy" {
  binding {
    role = "roles/logging.logWriter"

    members = [
      "serviceAccount:${google_service_account.log_user.email}"
    ]
  }
}

resource "google_service_account_iam_policy" "log_user_policy" {
  service_account_id = "${google_service_account.log_user.name}"
  policy_data        = "${data.google_iam_policy.log_policy.policy_data}"
}

При запуске terraform apply я получаю следующее сообщение об ошибке:

* module.iam.google_service_account_iam_policy.log_user_policy: 1 error(s) occurred:

* google_service_account_iam_policy.log_user_policy: Error setting IAM policy for service account 'projects/arcadia-apps-237918/serviceAccounts/log-user@arcadia-apps-237918.iam.gserviceaccount.com': googleapi: Error 400: Role roles/logging.logWriter is not supported for this resource., badRequest

Из проведенных мной раскопок я не могу найти четкого объяснения о том, как создать учетную запись службы, а затем назначить ей роль.

Answer 1

Я решил это, выполнив следующее:

resource "google_service_account" "log_user" {
  account_id   = "log-user"
  display_name = "Logging User"
}

resource "google_project_iam_binding" "log_user" {
  project = "arcadia-apps-237918"
  role    = "roles/logging.logWriter"
  members = [
    "serviceAccount:${google_service_account.log_user.email}"
  ]
}

Пользователь, выполняющий terraform, должен иметь назначенную ему роль администратора IAM, прежде чем вы сможете сделать это.