# 1. Compte de service pour Terraform
resource "google_service_account" "terraform_sa" {
  project      = var.project_id
  account_id   = var.service_account_name
  display_name = "Terraform Deployment SA"
}

# Rôles nécessaires pour le déploiement de l'architecture
# Ces rôles doivent être adaptés au principe du moindre privilège
resource "google_project_iam_member" "sa_roles" {
  for_each = toset([
    "roles/compute.admin", # Pour créer les VMs, VPCs, Firewalls
    "roles/iam.serviceAccountUser", # Pour utiliser le SA
    "roles/resourcemanager.projectIamAdmin" # Pour gérer les rôles (si nécessaire)
  ])
  project = var.project_id
  role    = each.key
  member  = "serviceAccount:${google_service_account.terraform_sa.email}"
}

# 2. Clé pour ce compte de service (nécessaire si vous voulez l'utiliser hors de la VM)
# ATTENTION : En général, il est préférable d'utiliser Workload Identity ou l'identité de la VM.
# Pour le TP, nous allons seulement créer la SA et les rôles. La clé n'est pas nécessaire si vous utilisez gcloud auth application-default login.
# Si une clé est requise pour le TP, décommentez ceci :
/*
resource "google_service_account_key" "terraform_sa_key" {
  service_account_id = google_service_account.terraform_sa.name
  public_key_type    = "TYPE_X509_PEM_FILE"
}
*/

# 3. Configuration OS Login et 4. Clé SSH
# Attribution des rôles OS Login à votre utilisateur
resource "google_project_iam_member" "oslogin_roles" {
  for_each = toset([
    "roles/compute.osLogin",
    "roles/iam.serviceAccountUser" # Requis si vous utilisez un SA pour l'accès
  ])
  project = var.project_id
  role    = each.key
  member  = "user:${var.gcp_user_email}"
}

# Ajout de la clé SSH à votre compte GCP pour OS Login
resource "google_os_login_ssh_public_key" "user_ssh_key" {
  user     = var.gcp_user_email
  key      = var.ssh_public_key
}