Terraform AWS提供程序错误：无法配置不可配置属性的值。不能为“acl”配置值：其值将自动确定

Terraform AWS Provider升级到版本4.0.0，发布日期为2022年2月10日。

发布的主要变化包括：

• AWS提供程序的版本4.0.0引入了对aws_s3_bucket资源的重大更改。
• 作为计划完全放弃EC2-Classic Networking，AWS提供程序的版本4.0.0将是支持EC2-Classic资源的最后一个重要版本。有关详细信息，请参见AWS News Blog。
• AWS提供程序的版本4.0.0和4.x.x将是与Terraform 0.12-0.15兼容的最后一个版本。

Terraform做出这种变化的原因如下：通过独立资源帮助分发S3存储桶设置的管理，aws_s3_bucket资源中的各种参数和属性已变为只读。依赖于这些参数的配置应更新为使用相应的aws_s3_bucket_*资源。更新后，应将新aws_s3_bucket_*资源导入Terraform状态。

因此，我按照这里的指南更新了我的代码：Terraform AWS提供程序版本4升级指南| S3 Bucket Refactor

新的工作代码如下：

resource "aws_s3_bucket" "this" {
  bucket = "${var.project}-${var.environment}-ssm-parameter-store-backups-bucket"

  tags = {
    Name        = "${var.project}-${var.environment}-ssm-parameter-store-backups-bucket"
    Environment = var.environment
  }
}

resource "aws_s3_bucket_acl" "this" {
  bucket = aws_s3_bucket.this.id
  acl    = "private"
}

resource "aws_s3_bucket_server_side_encryption_configuration" "this" {
  bucket = aws_s3_bucket.this.id

  rule {
    apply_server_side_encryption_by_default {
      kms_master_key_id = data.aws_kms_key.s3.arn
      sse_algorithm     = "aws:kms"
    }
  }
}

resource "aws_s3_bucket_lifecycle_configuration" "this" {
  bucket = aws_s3_bucket.this.id

  rule {
    id     = "backups"
    status = "Enabled"

    filter {
      prefix = "backups/"
    }

    transition {
      days          = 90
      storage_class = "GLACIER_IR"
    }

    transition {
      days          = 180
      storage_class = "DEEP_ARCHIVE"
    }

    expiration {
      days = 365
    }
  }
}

如果您不想升级Terraform AWS Provider版本到4.0.0，可以在代码中明确指定现有或旧版本以如下方式使用：

terraform {
  required_version = "~> 1.0.11"
  required_providers {
    aws  = "~> 3.73.0"
  }
}

Terraform AWS提供者已更新到4.0.0版本，导致出现了问题。

如果无法升级您的版本，可以采用以下方式锁定AWS提供者版本：

terraform {
  required_version = "~> 0.12.31"

  required_providers {
    aws  = "~> 3.74.1"
  }
}

对于Terragrunt/Terraform用户:

正如其他人所提到的，AWS Provider已升级到4.0版本。 这里列出了所有重大更改 (在git 4.0标签下): GitHub | terraform-provider-aws | v4.0.0

请注意s3的重大更改。我在页面上找到了39处参考，其中包括aws_s3_bucket。实际上，我们中的一些人没有时间去解决当前项目的所有重大更改。 我发现版本3.74.1非常有效。

为了限制所有使用Terragrunt配置的Terraform项目，在terragrunt repo的根terragrunt.hcl文件中，您可以指定以下内容:

generate "versions" {
    path      = "versions_override.tf"
    if_exists = "overwrite_terragrunt"
    contents  = <<EOF
    terraform {
        required_providers {
        aws = {
            version = "= 3.74.1"
            source = "hashicorp/aws"
        }
        }
    }
EOF
}

实际上，Terragrunt将生成一个versions_override.tf的terraform配置文件，该文件将定义3.74.1的明确版本。

resource "aws_s3_bucket" "lambda_bucket" {
  bucket = random_pet.lambda_bucket_name.id
  acl = "private"
  force_destroy = true
}

Error: Value for unconfigurable attribute
  with aws_s3_bucket.lambda_bucket,
  on main.tf line 32, in resource "aws_s3_bucket" "lambda_bucket":
  32:   acl           = "private"
Can't configure a value for "acl": its value will be decided automatically
based on the result of applying this configuration.

既然acl现在是只读的，那么请更新您的配置以使用aws_s3_bucket_acl资源，并在aws_s3_bucket资源中删除acl参数：

resource "aws_s3_bucket" "lambda_bucket" {
  bucket = random_pet.lambda_bucket_name.id

  force_destroy = true
}

resource "aws_s3_bucket_acl" "lamdbda_bucket" {
  bucket = aws_s3_bucket.lambda_bucket.id
  acl = "private"
}

terraform {
   required_providers {

    aws = {
         source = "hashicorp/aws"
         version =  "~> 3.74.2"
    }

    consul = {
      source = "hashicorp/consul"
    }
  }

  required_version = ">= 0.13"
}