Организация веб-крюка Terraform и ошибка токена

Question

Я следую инструкциям HashiCorp по предоставлению AWS CodePipeline с помощью webhook здесь . Я продолжаю получать ошибки:

$ terraform plan -var-file="secret.tfvars" -out=tfplan -input=false 

Error: provider.github: "organization": required field is not set
Error: provider.github: "token": required field is not set

Но в их документации не указано, где добавить эти поля. Я пытался добавить их на все этапы или только этап «Исходный код», потому что это единственный раз, когда GitHub упоминается в качестве поставщика.

Я смог предоставить их AWS CodePipeline без webhook здесь . У этого есть возможность делать опросы периодически, но не сразу, как опция webhook, которую я могу использовать для настройки консоли.

Для вашего удобства вот файл tf:

resource "aws_codepipeline" "bar" {
  name     = "tf-test-pipeline"
  role_arn = "${aws_iam_role.bar.arn}"

  artifact_store {
    location = "${aws_s3_bucket.bar.bucket}"
    type     = "S3"

    encryption_key {
      id   = "${data.aws_kms_alias.s3kmskey.arn}"
      type = "KMS"
    }
  }

  stage {
    name = "Source"

    action {
      name             = "Source"
      category         = "Source"
      owner            = "ThirdParty"
      provider         = "GitHub"
      version          = "1"
      output_artifacts = ["test"]

      configuration = {
        Owner  = "my-organization"
        Repo   = "test"
        Branch = "master"
      }
    }
  }

  stage {
    name = "Build"

    action {
      name            = "Build"
      category        = "Build"
      owner           = "AWS"
      provider        = "CodeBuild"
      input_artifacts = ["test"]
      version         = "1"

      configuration = {
        ProjectName = "test"
      }
    }
  }
}

# A shared secret between GitHub and AWS that allows AWS
# CodePipeline to authenticate the request came from GitHub.
# Would probably be better to pull this from the environment
# or something like SSM Parameter Store.
locals {
  webhook_secret = "super-secret"
}

resource "aws_codepipeline_webhook" "bar" {
  name            = "test-webhook-github-bar"
  authentication  = "GITHUB_HMAC"
  target_action   = "Source"
  target_pipeline = "${aws_codepipeline.bar.name}"

  authentication_configuration {
    secret_token = "${local.webhook_secret}"
  }

  filter {
    json_path    = "$.ref"
    match_equals = "refs/heads/{Branch}"
  }
}

# Wire the CodePipeline webhook into a GitHub repository.
resource "github_repository_webhook" "bar" {
  repository = "${github_repository.repo.name}"

  name = "web"

  configuration {
    url          = "${aws_codepipeline_webhook.bar.url}"
    content_type = "form"
    insecure_ssl = true
    secret       = "${local.webhook_secret}"
  }

  events = ["push"]
}

Обновление

Одна из вещей, которые я попробовал, это:

stage {
    name = "Source"

    action {
        name = "Source"
        category = "Source"
        owner = "ThirdParty"
        provider = "GitHub"
        token = "${var.github_token}"
        organization = "${var.github_username}"   
        version = "1"
        output_artifacts = ["SourceArtifact"]

        configuration {
            # Owner = "${var.github_username}"
            # OAuthToken = "${var.github_token}"
            Repo = "${var.github_repo}"
            Branch = "master"
            PollForSourceChanges = "true"
        }
    }
}

Answer 1

Итак, вам нужно сначала установить провайдера Github .

Пример:

# Configure the GitHub Provider
provider "github" {
  token        = "${var.github_token}"
  organization = "${var.github_organization}"
}

Answer 2

Я выяснил, какая у меня проблема:

Шаблон terraform имеет переменную с именем

locals {
  webhook_secret = "super-secret"
}

Это будет использоваться для создания секрета webhook с GitHub при развертывании шаблона. Без webhook_secret. Без webhook_secret, даже если вы добавите провайдера, например, ответ BMW для token и выдадите organization, ошибка будет повторяться.

HashiCorp также рекомендует создавать, хранить и извлекать секрет веб-крючка из окружения или чего-то подобного SSM Parameter Store.

Вы также можете проверить Руководство GitHub для генерации и защиты вашего секрета веб-крюка (например, взяв вывод ruby ​​-rsecurerandom -e ', поместите SecureRandom.hex (20)' в терминал)

Вот рабочий шаблон, я только вставил изменения, остальные (...) выглядят так же, как пример HashiCorp:

# Input variables
variable "aws_region" {
    type = "string"
    default = "us-east-1"
}

variable "pipeline_name" {
    type = "string"
    default = "static-website-terraform"
}

variable "github_username" {
    type = "string"
    default = "nditech"
}

variable "github_token" {
    type = "string"
}

variable "webhook_secret" {
    type = "string"
}
...
# Add webhook to pipeline
resource "aws_codepipeline_webhook" "codepipeline" {
    name            = "${var.pipeline_name}-codepipeline-webhook"
    authentication  = "GITHUB_HMAC"
    target_action   = "Source"
    target_pipeline = "${aws_codepipeline.codepipeline.name}"

    authentication_configuration {
        secret_token = "${var.webhook_secret}"
    }

    filter {
        json_path    = "$.ref"
        match_equals = "refs/heads/{Branch}"
    }
}

# Wire the CodePipeline webhook into a GitHub repository.
resource "github_repository_webhook" "codepipeline" {
    repository = "${var.github_repo}"

    name = "web"

    configuration {
        url          = "${aws_codepipeline_webhook.codepipeline.url}"
        content_type = "form"
        insecure_ssl = true
        secret       = "${var.webhook_secret}"
    }

    events = ["push"]
}