Cloud Foundation Fabric项目中IAM权限管理的改进方案探讨

在GoogleCloudPlatform的Cloud Foundation Fabric项目中，IAM（Identity and Access Management）权限管理一直是基础设施即代码（IaC）实践中的重要组成部分。近期社区提出了一个关于改进IAM绑定方式的建议，值得深入探讨其技术实现和价值。

当前IAM绑定方式的局限性

目前项目中通过iam_by_principals变量实现了基于主体的IAM绑定方式，允许以{PRINCIPAL => [ROLES]}的映射格式简洁地为同一主体分配多个角色。然而对于需要叠加权限（additive bindings）的场景，现有实现要求开发者必须为同一主体重复声明，这不仅增加了代码冗余，也降低了可读性和维护性。

改进建议的技术方案

社区建议引入新的变量iam_additive_by_principal，其设计理念与现有iam_by_principals类似，但专门针对需要叠加权限的场景。该变量定义为map(list(string))类型，允许开发者以更简洁的格式为同一主体分配多个需要叠加的IAM角色。

技术实现考量

1. 变量设计：保持与现有模式的一致性，采用相同的{PRINCIPAL => [ROLES]}结构，确保开发者体验的统一性。

2. 模块适配：建议首先在project、folder和organization等核心模块中实现，因为这些模块通常涉及更复杂的权限管理需求。

3. 命名规范：虽然建议使用了iam_additive_by_principal的名称，但也保持灵活性，允许根据团队偏好调整命名。

预期收益

1. 代码简洁性：消除重复的主体声明，使代码更加DRY（Don't Repeat Yourself）。

2. 可维护性提升：集中管理同一主体的多个叠加权限，降低维护成本。

3. 一致性增强：与现有iam_by_principals形成对称设计，提供更完整的权限管理方案。

实施建议

对于希望采用此改进方案的团队，建议：

1. 从单个模块开始试点，验证实现效果后再逐步推广。

2. 建立清晰的文档说明，解释新变量与现有变量的适用场景差异。

3. 考虑在CI/CD流程中添加验证，确保两种绑定方式的正确使用。

这个改进体现了基础设施代码向更高效、更人性化方向发展的趋势，值得在合适的场景中采用和实践。