最小特权原则是信息安全中的一个关键租户。团队中的每个成员都只能访问完成手头任务所需的权限。随着使用Terraform的组织规模和复杂性的增长，使用最小特权原则变得更加重要。这也会变得更加困难，因为跨职能团队开始需要在现有预设访问级别边缘进行访问。这就是为什么我们很高兴宣布Terraform云的新的自定义工作区权限。Terraform云组织所有者现在可以使用新设计的直观UI为每个工作区指定自定义权限。以前，组织所有者只能使用有限数量的工作区权限—读取、计划和写入。使用terraformcloud新的自定义工作区权限，组织所有者现在可以为工作区的运行、哨兵策略、变量和状态版本设置粒度权限。»混合和匹配权限客户与我们分享了他们对不同工作区的特定访问级别的需求。通常，即使是在生产工作区中设置的非敏感变量也不需要向非管理员公开。让受信任的团队成员看到它们并没有固有的安全风险，但是为了一致地应用最小特权原则，客户希望提供比我们以前的"读取"更细粒度的访问。现在，您可以创建自定义权限，该权限只授予"运行"的读取权限，同时将工作区变量的权限显式设置为"无访问权限"。»限制对状态版本的访问许多客户（尤其是在受监管的环境中）长期以来的一个要求是增加限制对状态和状态版本的访问的能力。我们现在得到了一个有助于限制的许可。»设置自定义权限要为工作区设置自己的自定义权限，请转到工作区，然后单击"设置">"团队访问"。选择您希望管理其权限的团队，在该团队中，您将看到一个新选项来切换"自定义此团队的权限"。这将在从您可能熟悉的预设权限选择到新的完全可自定义的权限组之间切换。（在设置中导航并设置自定义权限）»安全考虑因素重要的是，我们要指出，这种新功能只是全面解决管理基础设施状态挑战所需的一小部分，需要作为更大的纵深防御方法的一部分加以整合。它专门解决了客户通过善意团队成员强调的问题，这些成员不需要每天访问状态，仍然可以偶然访问潜在敏感的基础架构配置细节。这反过来又增加了必须定期审计和报告这些问题的小组的业务负担。这并不能阻止恶意用户故意将状态信息过滤到日志输出中，或者将结果保存到不同的系统中。在执行运行的过程中，Terraform本身仍然可以访问状态和敏感变量。因此，我们继续建议客户通过强大的监督和CI/CD流程来补充这一附加功能，并将Terraform云工作区的访问权限限制为组织内可信任的个人。»入门此功能对Terraform团队计划或更高版本的任何组织都可用，并且可以通过拨动开关打开。若要了解更多信息并开始使用，请查看有关自定义工作区权限的文档。