тоесть локально все-таки запрет даже на plan?

зависит от овердохрена факторов

Это понятно

Реально запретить инженеру ввести команду терраформ apply локально не получится, это только если ему ro файловую систему сделать и враппер над терраформом написать который запретит apply. пока есть права на то чтобы дернуть апишку и получить статус - план будет работать. Чтобы не было прав на apply, нужно на целевых системах выдавать права пользователям (под которым дергается апишка) только на RO

Поэтому проще сделать через ci)

Локально вообще ничего не делать, только ci

понял
спасибо!

ну 2 варианта - гранулированная выдача прав или запуск терраформа через стороннюю оболочку

придеться расстрелять львинную долю староверов =]

тут уже кто-то писал ранее, что через ci терраформ лучше не дергать. Я правда не помню почему..

Да ладно, у меня все через Jenkins и отлично работает

Через ci не запускать? Это что то новое

Ребят подксажите как между двумя стэйтами делится ресурсами? Я тут решил все что после создания ресурсов вынести в отдельный стэйт. Потому что если мне надо уничтожить какой-то ресурс или допустим ресурс должен пересоздатся, тогда терраформ падает жалуясь что такого ресурса больше нет и те надстройки для не доступны. Приходится руками удалять со стэйта эти надстройки Как это решается? Тут даже depends_on не помогает

https://www.terraform.io/docs/providers/terraform/d/remote_state.html не подойдет?

так причем тут

они и так всегда remote

вот например я уничтожу load balancer, и все что сним связано упадет

я даже новый несмогу создать потому что будет 1100 русерсурсов которые завязаны на нем, нужно будет из стейта руками удалять что все заработало опять

а что именно разделено на два стейта? не очень понял зачем разделение нужно, если связь настолько жесткая для ресурсов