寝ても覚めてもこんぴうた

プログラム書いたり、ネットワーク設計したり、サーバ構築したり、車いじったり、ゲームしたり。そんなひとにわたしはなりたい。 投げ銭は kyash_id : chidakiyo マデ

Terraformやコマンドで作成したCloud LoggingのLog RouterがPub/Subに送られない

GCP(Google Cloud Platform) Pub/Sub LogRouter Cloud Logging

f:id:chidakiyo:20210208104052j:plain

ちょっと前にTerraformでLog Routerを作成し、Pub/Subにログを送ろうとするとうまく送れず、
Web UIで作成するとうまく送れるということがありました。

雰囲気問題点がわかった気がするのでメモしておきます。(2021/02/08現在の情報です)

問題点

Web UIからLog Routerを作成した場合には、シンク作成時に割り当てられるSAに Pub/Subscribe パブリッシャーのロールが付与されるが、Terraform/gcloudコマンドで作成した場合にはその権限が付与されない。

Web UIから作成した場合にはシンク作成時にPub/Subトピックを新規作成することができ、その際に作成されたSAでPub/Subにパブリッシャーロールが付与されます。
既存のトピックを指定するとそれが付与されません。

また、 Terraform/gcloudコマンドの場合にはそもそもトピックを同時に新規作成するオプションが存在しないため、SAに権限が付与されません。

どうすれば良い?

シンク作成時に割り当てられるSAに対してPub/Subパブリッシャーのロールを付与する。

参考

https://cloud.google.com/logging/docs/export/configure_export_v2#dest-auth