Rychlý start: Vytvoření zprostředkovatele ověření identity Azure pomocí Terraformu
Ověření identity Microsoft Azure je řešení pro testování důvěryhodných spouštěcích prostředí (TEE). Tento rychlý start se zaměřuje na proces vytváření zásad ověřování Microsoft Azure pomocí Terraformu.
V tomto článku získáte informace o těchto tématech:
- Vytvořte náhodnou hodnotu pro název skupiny prostředků Azure pomocí random_pet.
- Vytvořte skupinu prostředků Azure pomocí azurerm_resource_group.
- Vytvořte poskytovatele ověření identity Azure pomocí azurerm_attestation_provider.
Požadavky
Podpisový certifikát zásad: Musíte nahrát certifikát X.509, který používá poskytovatel ověření identity k ověření podepsaných zásad. Tento certifikát je podepsaný certifikační autoritou nebo podepsaný svým držitelem. Mezi podporované přípony souborů patří
pem
,txt
acer
. Tento článek předpokládá, že již máte platný certifikát X.509.
Implementace kódu Terraformu
Poznámka:
Vzorový kód pro tento článek se nachází v úložišti GitHubu Azure Terraformu. Můžete zobrazit soubor protokolu obsahující výsledky testu z aktuálních a předchozích verzí Terraformu.
Další články a ukázkový kód ukazující použití Terraformu ke správě prostředků Azure
Vytvořte adresář, ve kterém otestujete ukázkový kód Terraformu a nastavíte ho jako aktuální adresář.
Vytvořte soubor s názvem
providers.tf
a vložte následující kód:terraform { required_version = ">=0.12" required_providers { azurerm = { source = "hashicorp/azurerm" version = "~>2.0" } random = { source = "hashicorp/random" version = "~>3.0" } tls = { source = "hashicorp/tls" version = "4.0.4" } } } provider "azurerm" { features {} }
Vytvořte soubor s názvem
main.tf
a vložte následující kód:resource "random_pet" "rg_name" { prefix = var.resource_group_name_prefix } resource "azurerm_resource_group" "rg" { location = var.resource_group_location name = random_pet.rg_name.id } locals { create_signing_cert = try(!fileexists(var.cert_path), true) } resource "tls_private_key" "signing_cert" { count = local.create_signing_cert ? 1 : 0 algorithm = "RSA" rsa_bits = 4096 } resource "tls_self_signed_cert" "attestation" { count = local.create_signing_cert ? 1 : 0 private_key_pem = tls_private_key.signing_cert[0].private_key_pem validity_period_hours = 12 allowed_uses = [ "cert_signing", ] } resource "random_string" "attestation_suffix" { length = 8 numeric = false special = false upper = false } resource "azurerm_attestation_provider" "corp_attestation" { location = azurerm_resource_group.rg.location name = "${var.attestation_provider_name}${random_string.attestation_suffix.result}" resource_group_name = azurerm_resource_group.rg.name policy_signing_certificate_data = try(tls_self_signed_cert.attestation[0].cert_pem, file(var.cert_path)) }
Vytvořte soubor s názvem
variables.tf
a vložte následující kód:variable "attestation_provider_name" { default = "attestation" } variable "cert_path" { default = "~/.certs/cert.pem" } variable "resource_group_location" { default = "eastus" description = "Location of the resource group." } variable "resource_group_name_prefix" { default = "rg" description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription." }
Klíčové body:
policy_file
Upravte pole podle potřeby tak, aby ukazovalo na váš soubor PEM.
Vytvořte soubor s názvem
outputs.tf
a vložte následující kód:output "resource_group_name" { value = azurerm_resource_group.rg.name }
Inicializace Terraformu
Spuštěním inicializace nasazení Terraformu spusťte inicializaci terraformu. Tento příkaz stáhne poskytovatele Azure potřebného ke správě prostředků Azure.
terraform init -upgrade
Klíčové body:
- Parametr
-upgrade
upgraduje potřebné moduly plug-in zprostředkovatele na nejnovější verzi, která splňuje omezení verzí konfigurace.
Vytvoření plánu provádění Terraformu
Spuštěním plánu terraformu vytvořte plán provádění.
terraform plan -out main.tfplan
Klíčové body:
- Příkaz
terraform plan
vytvoří plán provádění, ale nespustí ho. Místo toho určuje, jaké akce jsou nezbytné k vytvoření konfigurace zadané v konfiguračních souborech. Tento model umožňuje ověřit, jestli plán provádění odpovídá vašim očekáváním, než provede jakékoli změny skutečných prostředků. - Volitelný
-out
parametr umožňuje zadat výstupní soubor pro plán. Použití parametru-out
zajišťuje, že plán, který jste zkontrolovali, je přesně to, co se použije.
Použití plánu provádění Terraformu
Spuštění terraformu platí pro použití plánu provádění na cloudovou infrastrukturu.
terraform apply main.tfplan
Klíčové body:
terraform apply
Ukázkový příkaz předpokládá, že jste dříve spustiliterraform plan -out main.tfplan
.- Pokud jste pro
-out
parametr zadali jiný název souboru, použijte stejný název souboru při voláníterraform apply
. - Pokud jste parametr nepoužíli
-out
, zavolejteterraform apply
bez parametrů.
6. Ověření výsledků
Získejte název skupiny prostředků Azure.
resource_group_name=$(terraform output -raw resource_group_name)
Spuštěním příkazu az attestation list vypíšete zprostředkovatele pro zadaný název skupiny prostředků.
az attestation list --resource-group $resource_group_name
Vyčištění prostředků
Pokud už prostředky vytvořené přes Terraform nepotřebujete, proveďte následující kroky:
Spusťte plán terraformu
destroy
a zadejte příznak.terraform plan -destroy -out main.destroy.tfplan
Klíčové body:
- Příkaz
terraform plan
vytvoří plán provádění, ale nespustí ho. Místo toho určuje, jaké akce jsou nezbytné k vytvoření konfigurace zadané v konfiguračních souborech. Tento model umožňuje ověřit, jestli plán provádění odpovídá vašim očekáváním, než provede jakékoli změny skutečných prostředků. - Volitelný
-out
parametr umožňuje zadat výstupní soubor pro plán. Použití parametru-out
zajišťuje, že plán, který jste zkontrolovali, je přesně to, co se použije.
- Příkaz
Spuštění terraformu platí pro použití plánu provádění.
terraform apply main.destroy.tfplan
Řešení potíží s Terraformem v Azure
Řešení běžných problémů při používání Terraformu v Azure
Další kroky
Přehled ověření identity Azure