Não entendo por que o Terraform deseja remover a política json. Em outros casos, quando os dados forem lidos durante o apply, o plano mostra a política json sendo removida e adicionada no mesmo plano, mas isso não está acontecendo, o Terraform está apenas removendo.
Esta é a política:
data "aws_iam_policy_document" "my_policy" {
statement {
sid = "S3"
effect = "Allow"
actions = ["s3:*"]
resources = [
aws_s3_bucket.some-bucket.arn,
"arn:aws:s3:::another-bucket/*",
"arn:aws:s3:::another-bucket/"
]
}
statement {
sid = "CloudWatch"
effect = "Allow"
actions = ["logs:*"]
resources = [
aws_cloudwatch_log_group.some_lambda.arn,
"arn:aws:logs:us-east-1:123456789123:log-group:/some/log/group:*",
"arn:aws:logs:us-east-1:123456789123:log-group:/some/log/group"
]
}
}
E aqui está o plano:
# data.aws_iam_policy_document.my_policy will be read during apply
# (config refers to values not yet known)
<= data "aws_iam_policy_document" "my_policy" {
~ id = "123456789" -> (known after apply)
~ json = jsonencode(
{
- Statement = [
- {
- Action = "s3:*"
- Effect = "Allow"
- Resource = [
- "arn:aws:s3:::another-bucket/*",
- "arn:aws:s3:::another-bucket/",
]
- Sid = "S3"
},
- {
- Action = "logs:*"
- Effect = "Allow"
- Resource = [
- "arn:aws:logs:us-east-1:123456789123:log-group:/some/log/group:*",
- "arn:aws:logs:us-east-1:123456789123:log-group:/some/log/group",
]
- Sid = "CloudWatch"
},
]
- Version = "2012-10-17"
}
) -> (known after apply)
- version = "2012-10-17" -> null
~ statement {
- not_actions = [] -> null
- not_resources = [] -> null
~ resources = [
+ "arn:aws:s3:::some-bucket/",
# (2 unchanged elements hidden)
]
# (3 unchanged attributes hidden)
}
~ statement {
- not_actions = [] -> null
- not_resources = [] -> null
# (4 unchanged attributes hidden)
}
}
1 - Por que o Terraform quer acabar com essa política de json?
2 - Os not_actionse not_resourcessão opcionais. Eu pensei que não vai aparecer no plano. Isso é normal?
O que o Terraform descreveu aqui não é para excluir a política JSON, mas para atualizá-la:
Observe que a anotação em todo o atributo é
~, em vez de-, o que significa que está sendo atualizado no local.A
(known after apply)parte interessante disso é dizer que o Terraform ainda não sabe qual será o documento de política final JSON. Isso normalmente acontece se algum dos valores que estão contribuindo para o documento forem valores que não serão conhecidos até a etapa de aplicação, que é o que a nota na parte superior do plano está tentando dizer:Durante a fase de aplicação, o Terraform tentará novamente avaliar esse recurso de dados, momento em que todos os valores devem ser conhecidos e, portanto, será capaz de lê-lo. Ele deve então produzir um documento de política válido para usar, que provavelmente será semelhante ao antigo, mas o próprio Terraform ainda não sabe disso.
Se você quiser ver a nova política na íntegra antes de aplicá-la a qualquer outro recurso, poderá usar a
-targetopção de solicitar ao Terraform que se concentre apenas em fazer as alterações que permitirão decidir o documento JSON, assim:Com essas
-targetopções, o Terraform ignorará o planejamento do recurso de dados e qualquer outra coisa que dependa dele e, portanto, você não verá nenhuma mençãodata "aws_iam_policy_document" "my_policy"no plano. Depois de aplicar essa alteração parcial, você pode executarterraform applysem nenhum argumento normalmente e, em seguida, o Terraform deve ser capaz de avaliar o documento de política JSON durante a fase de planejamento, porque todos os valores de entrada já serão conhecidos.As mudanças de
[] -> nullpara aquelesnot_actionsenot_resourcesargumentos parecem ser apenas pequenos bugs no provedor: o provedor parece ser inconsistente sobre se unset é representado como uma lista vazia ou comonull, e assim o Terraform CLI está renderizando essa diferença na tela. O provedor deve ser consistente sobre como representa isso para evitar mostrar esse ruído extra confuso.