Terraform скрипт выполняет следующее:
- ✅ Создает Bucket
- ✅ Выполняет разграничение доступа (IAM, BucketPolicy) для групп: администраторы, read-only, write-only
- ✅ Включает версионирование и жизненный цикл так, чтобы: хранить текущие версии файлов 365 дней, НЕтекущие версии файлов (удаленные/измененные) 150 дней
- ✅ Включает логирование действий над Bucket в отдельный Bucket
- ✅ Включает шифрование (Server-Side) объектов в Bucket
Решение принимает на вход (variables):
- список учетных записей администраторов: all-access-users
- список сервисных аккаунтов, требущих прав чтения: read-only-sa
- список сервисных аккаунтов, требущих прав записи: write-only-sa
Выполняет:
- Создание sa с правами storage admin для создания Bucket
- Создание KMS ключа для шифрования
- Назначение прав учетным записям на работу с KMS ключами
- Назначение прав IAM учетным записям для работы с Bucket
- Создание отдельного Bucket для логирования действий
- Создание основного Bucket
- Применение BucketPolicy
- Включение версионирования и жизненного цикла
- Включение логирования
- Включение шифрования
variable "token" {
description = "Yandex.Cloud security OAuth token"
default = "key.json" # generate yours: https://cloud.yandex.ru/docs/iam/concepts/authorization/oauth-token
}
variable "folder_id" {
description = "Yandex.Cloud Folder ID where resources will be created"
default = "xxxxxx" # yc config get folder-id
}
variable "cloud_id" {
description = "Yandex.Cloud ID where resources will be created"
default = "xxxxxx" #yc config get cloud-id
}
variable "all-access-users" {
description = ""
default = ["federatedUser:ajesnkfkxxxxxxxxxxxx", "federatedUser:ajeurmedxxxxxxxxxxxx"]
}
variable "read-only-sa" {
description = ""
default = ["serviceAccount:ajeph8f8xxxxxxxxxxxx", "serviceAccount:aje066slxxxxxxxxxxxx"]
}
variable "write-only-sa" {
description = "sa"
default = ["serviceAccount:ajem3ef7xxxxxxxxxxxx", "serviceAccount:aje1ngf4xxxxxxxxxxxx"]
}