Вопросы и ответы

Можно использовать два способа аутентификации: через привязку сервисного аккаунта и через токены.

При работе с Terraform рекомендуется использовать аутентификацию через привязку сервисного аккаунта. Аутентификация с помощью токена подходит только для тестовых операций с небольшим временем выполнения: срок действия токена составляет 5 минут.

Чувствительные данные (пароли, ключи доступа, токены и т.п.) желательно хранить в отдельном файле с переменными. Это помогает ограничить доступ к секретам и снизить риск их компрометации. Кроме того, вы сможете легко изменять секреты без изменения остального кода.

В описаниях переменных с чувствительными данными используйте параметр sensitive = true, например:

1
variable "acces_token" {
2
  type      = string
3
  sensitive = true
4
}

В этом случае значения переменных не будут отображаться в логах и выводах команд. Если вы храните конфигурации Terraform в git-репозитории, добавляйте файлы с секретами в .gitignore.

По возможности используйте системы управления секретами, например HashiCorp Vault).

По умолчанию файлы состояния хранятся локально. Такой способ подходит, только если вы используете Terraform в тестовых целях.

Для командной работы лучше помещать файлы состояния в удаленное хранилище. В MWS Cloud для этой цели можно использовать Object Storage.

Технически это возможно, однако может привести к частичному или полному удалению ресурсов при применении конфигурации. Прибегайте к ручному редактированию как к крайней мере лишь в исключительных случаях — например, при восстановлении после критических сбоев. Перед ручным редактированием обязательно сделайте резервную копию файла состояния.