Não entendo por que o Terraform deseja remover a política json. Em outros casos, quando os dados serão lidos durante a aplicação, o plano mostra a política json sendo removida e adicionada no mesmo plano, mas isso não está acontecendo, o Terraform está apenas removendo.
Esta é a política:
data "aws_iam_policy_document" "my_policy" {
statement {
sid = "S3"
effect = "Allow"
actions = ["s3:*"]
resources = [
aws_s3_bucket.some-bucket.arn,
"arn:aws:s3:::another-bucket/*",
"arn:aws:s3:::another-bucket/"
]
}
statement {
sid = "CloudWatch"
effect = "Allow"
actions = ["logs:*"]
resources = [
aws_cloudwatch_log_group.some_lambda.arn,
"arn:aws:logs:us-east-1:123456789123:log-group:/some/log/group:*",
"arn:aws:logs:us-east-1:123456789123:log-group:/some/log/group"
]
}
}
E aqui está o plano:
# data.aws_iam_policy_document.my_policy will be read during apply
# (config refers to values not yet known)
<= data "aws_iam_policy_document" "my_policy" {
~ id = "123456789" -> (known after apply)
~ json = jsonencode(
{
- Statement = [
- {
- Action = "s3:*"
- Effect = "Allow"
- Resource = [
- "arn:aws:s3:::another-bucket/*",
- "arn:aws:s3:::another-bucket/",
]
- Sid = "S3"
},
- {
- Action = "logs:*"
- Effect = "Allow"
- Resource = [
- "arn:aws:logs:us-east-1:123456789123:log-group:/some/log/group:*",
- "arn:aws:logs:us-east-1:123456789123:log-group:/some/log/group",
]
- Sid = "CloudWatch"
},
]
- Version = "2012-10-17"
}
) -> (known after apply)
- version = "2012-10-17" -> null
~ statement {
- not_actions = [] -> null
- not_resources = [] -> null
~ resources = [
+ "arn:aws:s3:::some-bucket/",
# (2 unchanged elements hidden)
]
# (3 unchanged attributes hidden)
}
~ statement {
- not_actions = [] -> null
- not_resources = [] -> null
# (4 unchanged attributes hidden)
}
}
1 - Por que o Terraform quer acabar com essa política json?
2 - Os not_actionse not_resourcessão opcionais. Achei que não iria aparecer no plano. Isso é normal?
Responder1
O que o Terraform descreveu aqui não éexcluira política JSON, mas para atualizá-la:
~ json = jsonencode(...) -> (known after apply)
Observe que a anotação em todo o atributo é ~, em vez de -, o que significa que ele está sendo atualizado no local.
A (known after apply)parte disso é interessante: está dizendo que o Terraform ainda não sabe qual será o documento final da política JSON. Isso normalmente acontece se algum dos valores que contribuem para o documento são valores que não serão conhecidos até a etapa de aplicação, que é o que a nota no topo do plano tenta dizer:
# (config refers to values not yet known)
Durante a fase de aplicação o Terraform tentará novamente avaliar este recurso de dados, momento em que todos os valores deverão ser conhecidos e assim poderá lê-lo. Deve então produzir um documento de política válido para uso, que provavelmente será semelhante ao antigo, mas o próprio Terraform ainda não sabe disso.
Se você quiser ver a nova política na íntegraantesvocê o aplica a qualquer outro recurso, então você pode usar a -targetopção de pedir ao Terraform para se concentrar apenas em fazer as alterações que permitirão decidir o documento JSON, como este:
terraform apply -target=aws_s3_bucket.some-bucket.arn -target=aws_cloudwatch_log_group.some_lambda.arn
Com essas -targetopções, o Terraform irá pular o planejamento do recurso de dados e qualquer outra coisa que dependa dele, e assim você não verá nenhuma menção data "aws_iam_policy_document" "my_policy"no plano. Depois de aplicar essa alteração parcial, você poderá executar terraform applysem nenhum argumento normalmente e o Terraform deverá ser capaz de avaliar o documento de política JSON durante a fase de planejamento, porque todos os valores de entrada já serão conhecidos.
As mudanças [] -> nullpara aqueles not_actionse not_resourcesargumentos parecem ser apenas pequenos bugs no provedor: o provedor parece ser inconsistente sobre se unset é representado como uma lista vazia ou como null, e então a CLI do Terraform está renderizando essa diferença na tela. O provedor deve ser consistente sobre como isso representa para evitar mostrar esse ruído extra confuso.