问题描述
我一直在尝试将多个组别名(即我们公司中的多个 AD 组)分配到一个身份组中。到目前为止,我们已经为每个别名设置了一个身份组,但我们意识到这是没有意义的,因为它们都带有相同的策略。
我们使用 terraform 来维护和配置我们的基础设施。
这是我期望的形式:
resource "vault_identity_group" "saas-mfi" {
Metadata = {
productname = "mfi"
}
name = "saas-mfi"
policies = [
"eaas-key","secret-store-mfi"
]
type = "external"
}
resource "vault_identity_group_alias" "alias_1" {
canonical_id = vault_identity_group.saas-mfi.id
mount_accessor = var.org_local_mount_accessor
name = "alias_1"
}
resource "vault_identity_group_alias" "alias_2" {
canonical_id = vault_identity_group.saas-mfi.id
mount_accessor = var.org_local_mount_accessor
name = "alias_2"
}
resource "vault_identity_group_alias" "alias_3" {
canonical_id = vault_identity_group.saas-mfi.id
mount_accessor = var.org_local_mount_accessor
name = "alias_3"
}
当我尝试应用此配置时,出现以下错误:
错误:提供程序在应用后产生不一致的结果
当然,这个问题与提供商无关。但似乎一个身份组本身不能有多个别名。这很奇怪,因为在 UI 中,有一个名为“别名”的身份组选项卡,以复数形式表示。
如果有人知道有关此事的任何信息,我将不胜感激。
解决方法
我试图做同样的事情,但在身份文档中遇到了以下段落:
外部组用作到身份存储之外的组的映射。 外部组可以有一个(并且只有一个)别名。此别名应映射到身份存储之外的组概念。
来自 External vs Internal Groups 部分。