我将 gitbucket 用于我的存储库和管道。 我有一个配置了远程状态的 terraform 配置文件,它在我的本地计算机上运行良好,但在 gitbucket 中运行时失败。我不断收到访问被拒绝的错误。 这是主要的.tf:
terraform {
backend "s3" {
bucket = "zego-terraform-test"
key = "test/terraform.tfstate"
region = "eu-west-1"
}
}
data "terraform_remote_state" "remote_state" {
backend = "s3"
config {
bucket = "zego-terraform-test"
key = "test/terraform.tfstate"
region = "eu-west-1"
}
}
variable "region" {}
provider "aws" {
region = "${var.region}"
access_key = {}
secret_key = {}
token = {}
}
module "vpc" {
source = "./modules/vpc"
}
这是我的 gitbucket-pipelines.yml:
image: python:3.5.1
pipelines:
default:
- step:
caches:
- pip
script: # Modify the commands below to build your repository.
- apt-get update
- apt-get install unzip
- wget https://releases.hashicorp.com/terraform/0.11.7/terraform_0.11.7_linux_amd64.zip
- unzip terraform_0.11.7_linux_amd64.zip
- rm terraform_0.11.7_linux_amd64.zip
- export PATH="$PATH:${BITBUCKET_CLONE_DIR}"
- terraform init
-backend-config "access_key=$AWS_ACCESS_KEY"
-backend-config "secret_key=$AWS_SECRET_KEY"
-backend-config "token=$TOKEN"
当我在此管道中运行 .tf 文件时,出现此错误:
Successfully configured the backend "s3"! Terraform will automatically
use this backend unless the backend configuration changes.
Error refreshing state: AccessDenied: Access Denied
status code: 403
当我删除远程状态配置时,它运行正常。 即使我在本地计算机和 gitbucket 环境中使用相同的凭据,为什么我仍会收到访问被拒绝错误?
遇到同样的错误。对于我们的用例,我们必须手动删除
terraform.tfstate
目录下的 .terraform/
文件并再次运行 init
。
如果尚未找到此问题的解决方案,您可以在 terraform_remote_state 节的配置部分中使用“profile=”或“role_arn=”。 AWS Provider 和后端配置也是如此。
我今天一整天都在追这个问题,没有意识到 role_arn 可用于 terraform_backend_state 数据源。
当我使用多个使用配置文件名称的 aws 帐户时,也发生了同样的错误。
就我而言,我在后端配置中缺少
profile
属性。添加了配置文件并删除了 .terraform
目录,然后运行 terraform init
- 它起作用了。
terraform {
required_version = ">= 1.0.0"
backend "s3" {
// here!
profile = "crazyoptimist"
bucket = "devops-terraform-crazyoptimist"
key = "terraform.tfstate"
region = "us-west-2"
encrypt = true
}
required_providers {
aws = {
source = "hashicorp/aws"
version = "~> 4.0"
}
}
}
provider "aws" {
region = "us-west-2"
profile = "crazyoptimist"
}
在 terraform 后端之间切换时可能会出现此错误。要解决此问题,您可以运行
terraform init -reconfigure
将后端配置为新后端。
terraform.tfstate
下的 .terraform
文件并运行 terraform init
相同的结果。
乍一看似乎很有道理。您是否尝试过将 terraform init 和 -backend-config 全部放在一行上?我想知道开头的 - 是否弄乱了 yml 格式?
在 codebuild 中运行 terraform init 命令时收到相同的错误,只需授予 s3 存储桶访问为 codebuild 创建的角色的权限即可解决错误
在我的例子中,data.tf 的一个数据块的后端文件存在权限问题,我只是重新创建了该文件并再次执行了 terraform plan,问题就解决了。花了很长时间才弄清楚这一点。
data "terraform_remote_state" "gateway" {
backend = "s3"
config = {
bucket = "xxx-terraform-remote"
key = "xxx/terraform.tfstate"
region = "eu-west-1"
}
}
就我而言,AWS 客户端查找凭证的顺序存在问题。
我将 terreform 使用的 AWS 凭证存储在
~/.aws/credentials
中,但我还在环境变量中设置了不同的 AWS 凭证。
我必须从我的环境变量中删除 AWS 凭证,它起作用了。
个人资料凭证似乎有效,但权限不足
尝试:
导航
IAM -> Users -> wb-cli -> permissions tab -> Add permission
添加
AdministratorAccess
或选择您希望授予用户的特定权限。