Schnellstart: Erstellen eines Azure Attestation-Anbieters mit Terraform

Microsoft Azure Attestation ist eine Lösung für den Nachweis von Trusted Execution Environments (TEEs). Dieser Schnellstart konzentriert sich auf den Prozess zum Erstellen einer Microsoft Azure Attestation-Richtlinie mit Terraform.

In diesem Artikel werden folgende Vorgehensweisen behandelt:

• Erstellen eines Zufallswerts für den Azure-Ressourcengruppennamen mithilfe von random_pet.
• Erstellen einer Azure-Ressourcengruppe mithilfe von azurerm_resource_group.
• Erstellen Sie mithilfe von azurerm_attestation_provider einen Azure Attestation-Anbieter.

Voraussetzungen

• Installieren und Konfigurieren von Terraform

• Richtliniensignaturzertifikat: Sie müssen ein X.509-Zertifikat hochladen, das vom Nachweisanbieter verwendet wird, um signierte Richtlinien zu überprüfen. Dieses Zertifikat wird entweder von einer Zertifizierungsstelle signiert oder selbstsigniert. Unterstützte Dateierweiterungen sind pem, txt und cer. In diesem Artikel wird davon ausgegangen, dass Sie bereits über ein gültiges X.509-Zertifikat verfügen.

Implementieren des Terraform-Codes

Hinweis

Der Beispielcode für diesen Artikel befindet sich im Azure Terraform-GitHub-Repository. Sie können die Protokolldatei anzeigen, die die Testergebnisse von aktuellen und früheren Terraform-Versionen enthält.

Betrachten Sie die weiteren Artikel und Beispielcodes zur Verwendung von Terraform zum Verwalten von Azure-Ressourcen.

1. Erstellen Sie ein Verzeichnis, in dem der Terraform-Beispielcode getestet werden soll, und legen Sie es als aktuelles Verzeichnis fest.

2. Erstellen Sie eine Datei namens providers.tf, und fügen Sie den folgenden Code ein:

   terraform {
     required_version = ">=0.12"
   
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>2.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
       tls = {
         source  = "hashicorp/tls"
         version = "4.0.4"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

3. Erstellen Sie eine Datei namens main.tf, und fügen Sie den folgenden Code ein:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "azurerm_resource_group" "rg" {
     location = var.resource_group_location
     name     = random_pet.rg_name.id
   }
   
   locals {
     create_signing_cert = try(!fileexists(var.cert_path), true)
   }
   
   resource "tls_private_key" "signing_cert" {
     count = local.create_signing_cert ? 1 : 0
   
     algorithm = "RSA"
     rsa_bits  = 4096
   }
   
   resource "tls_self_signed_cert" "attestation" {
     count = local.create_signing_cert ? 1 : 0
   
     private_key_pem = tls_private_key.signing_cert[0].private_key_pem
     validity_period_hours = 12
     allowed_uses = [
       "cert_signing",
     ]
   }
   
   resource "random_string" "attestation_suffix" {
     length  = 8
     numeric = false
     special = false
     upper   = false
   }
   
   resource "azurerm_attestation_provider" "corp_attestation" {
     location                        = azurerm_resource_group.rg.location
     name                            = "${var.attestation_provider_name}${random_string.attestation_suffix.result}"
     resource_group_name             = azurerm_resource_group.rg.name
     policy_signing_certificate_data = try(tls_self_signed_cert.attestation[0].cert_pem, file(var.cert_path))
   }
   

4. Erstellen Sie eine Datei namens variables.tf, und fügen Sie den folgenden Code ein:

   variable "attestation_provider_name" {
     default = "attestation"
   }
   
   variable "cert_path" {
     default = "~/.certs/cert.pem"
   }
   
   variable "resource_group_location" {
     default     = "eastus"
     description = "Location of the resource group."
   }
   
   variable "resource_group_name_prefix" {
     default     = "rg"
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
   }
   

   Die wichtigsten Punkte:

   • Passen Sie das Feld policy_file so an, dass es auf Ihre PEM-Datei verweist.

5. Erstellen Sie eine Datei namens outputs.tf, und fügen Sie den folgenden Code ein:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   

Initialisieren von Terraform

Führen Sie zum Initialisieren der Terraform-Bereitstellung terraform init aus. Mit diesem Befehl wird der Azure-Anbieter heruntergeladen, der zum Verwalten Ihrer Azure-Ressourcen erforderlich ist.

terraform init -upgrade

Die wichtigsten Punkte:

• Der Parameter -upgrade aktualisiert die erforderlichen Anbieter-Plug-Ins auf die neueste Version, die den Versionseinschränkungen der Konfiguration entspricht.

Erstellen eines Terraform-Ausführungsplans

Führen Sie terraform plan aus, um einen Ausführungsplan zu erstellen.

terraform plan -out main.tfplan

Die wichtigsten Punkte:

• Durch den Befehl terraform plan wird ein Ausführungsplan erstellt, aber nicht ausgeführt. Stattdessen werden die Aktionen ermittelt, die erforderlich sind, um die in Ihren Konfigurationsdateien angegebene Konfiguration zu erstellen. Mit diesem Muster können Sie überprüfen, ob der Ausführungsplan Ihren Erwartungen entspricht, bevor Sie Änderungen an den eigentlichen Ressourcen vornehmen.
• Der optionale Parameter -out ermöglicht die Angabe einer Ausgabedatei für den Plan. Durch die Verwendung des Parameters -out wird sichergestellt, dass genau der von Ihnen überprüfte Plan angewendet wird.

Anwenden eines Terraform-Ausführungsplans

Führen Sie terraform apply aus, um den Ausführungsplan auf Ihre Cloudinfrastruktur anzuwenden.

terraform apply main.tfplan

Die wichtigsten Punkte:

• Der Beispielbefehl terraform apply setzt voraus, dass Sie zuvor terraform plan -out main.tfplan ausgeführt haben.
• Wenn Sie einen anderen Dateinamen für den Parameter -out angegeben haben, verwenden Sie denselben Dateinamen im Aufruf von terraform apply.
• Wenn Sie den Parameter -out nicht verwendet haben, rufen Sie terraform apply ohne Parameter auf.

6. Überprüfen der Ergebnisse

Azure-Befehlszeilenschnittstelle

1. Rufen Sie den Namen der Azure-Ressourcengruppe ab.

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. Führen Sie az attestation list aus, um die Anbieter für den angegebenen Ressourcengruppennamen aufzulisten.

   az attestation list --resource-group $resource_group_name
   

Bereinigen von Ressourcen

Wenn Sie die über Terraform erstellten Ressourcen nicht mehr benötigen, führen Sie die folgenden Schritte aus:

1. Führen Sie terraform plan aus, und geben Sie das Flag destroy an.

   terraform plan -destroy -out main.destroy.tfplan
   

   Die wichtigsten Punkte:

   • Durch den Befehl terraform plan wird ein Ausführungsplan erstellt, aber nicht ausgeführt. Stattdessen werden die Aktionen ermittelt, die erforderlich sind, um die in Ihren Konfigurationsdateien angegebene Konfiguration zu erstellen. Mit diesem Muster können Sie überprüfen, ob der Ausführungsplan Ihren Erwartungen entspricht, bevor Sie Änderungen an den eigentlichen Ressourcen vornehmen.
   • Der optionale Parameter -out ermöglicht die Angabe einer Ausgabedatei für den Plan. Durch die Verwendung des Parameters -out wird sichergestellt, dass genau der von Ihnen überprüfte Plan angewendet wird.

2. Führen Sie zum Anwenden des Ausführungsplans den Befehl terraform apply aus.

   terraform apply main.destroy.tfplan
   

Problembehandlung für Terraform in Azure

Behandeln allgemeiner Probleme bei der Verwendung von Terraform in Azure

Nächste Schritte

Übersicht über Azure Attestation.