Schnellstart: Verwalten von Azure Key Vault Zertifikatkontakten mit dem AzAPI Terraform-Anbieter

Terraform ermöglicht die Definition, Vorschau und Bereitstellung der Cloudinfrastruktur. Mithilfe von Terraform erstellen Sie Konfigurationsdateien mit der HCL-Syntax. Mit der HCL-Syntax können Sie den Cloudanbieter ( z. B. Azure ) und die Elemente angeben, aus denen Ihre Cloudinfrastruktur besteht. Nach der Erstellung Ihrer Konfigurationsdateien erstellen Sie einen Ausführungsplan, mit dem Sie eine Vorschau Ihrer Infrastrukturänderungen anzeigen können, bevor diese bereitgestellt werden. Nachdem Sie die Änderungen überprüft haben, wenden Sie den Ausführungsplan an, um die Infrastruktur bereitzustellen.

Verwenden Sie azapi_data_plane_resource, um Azure Datenebenenressourcen in Terraform zu verwalten. In diesem Beispiel konfigurieren Sie Zertifikatkontakte für eine Azure Key Vault.

Grundlegende Konzepte zur Funktionsweise und parent_id Muster des Datenebenenframeworks finden Sie unter "Grundlegendes zum AzAPI-Datenebenenframework".

• Erstellen einer Key Vault mit dem AzureRM-Anbieter
• Verwenden Sie azapi_data_plane_resource, um Zertifikatkontakte zu konfigurieren

Voraussetzungen

• Azure-Abonnement: Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto , bevor Sie beginnen.

• Terraform konfigurieren: Wenn Sie dies noch nicht getan haben, konfigurieren Sie Terraform mit einer der folgenden Optionen:

  • Konfigurieren von Terraform in Azure Cloud Shell mit Bash
  • Konfigurieren von Terraform in Azure Cloud Shell mit PowerShell
  • Konfigurieren von Terraform in Windows mit Bash
  • Terraform in Windows mit PowerShell konfigurieren

Wenn Sie sich mit einem Microsoft-Konto beim Azure-Portal anmelden, wird das Azure-Standardabonnement für dieses Konto verwendet.

Terraform authentifiziert sich automatisch mithilfe von Informationen aus dem Azure-Standardabonnement.

Führen Sie az account show aus , um das aktuelle Microsoft-Konto und das Azure-Abonnement zu überprüfen.

az account show

Alle Änderungen, die Sie über Terraform vornehmen, befinden sich im angezeigten Azure-Abonnement. Wenn Sie dies wünschen, überspringen Sie den Rest dieses Artikels.

Implementieren des Terraform-Codes

1. Erstellen Sie ein Verzeichnis, in dem der Terraform-Beispielcode getestet werden soll, und legen Sie es als aktuelles Verzeichnis fest.

2. Erstellen Sie eine Datei mit dem Namen providers.tf, und fügen Sie den folgenden Code ein:

   terraform {
     required_providers {
       azapi = {
         source  = "Azure/azapi"
         version = "~> 2.0"
       }
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~> 4.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~> 3.0"
       }
     }
   }
   
   provider "azurerm" {
     features {
       key_vault {
         purge_soft_delete_on_destroy    = true
         recover_soft_deleted_key_vaults = true
       }
     }
   }
   
   provider "azapi" {}
   

3. Erstellen Sie eine Datei mit dem Namen variables.tf, und fügen Sie den folgenden Code ein:

   variable "resource_group_location" {
     type        = string
     default     = "eastus"
     description = "Location of the resource group."
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     default     = "rg"
     description = "Prefix of the resource group name that's combined with a random value to create a unique name."
   }
   

4. Erstellen Sie eine Datei mit dem Namen main.tf, und fügen Sie den folgenden Code ein:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "random_string" "kv_suffix" {
     length  = 6
     upper   = false
     special = false
   }
   
   resource "azurerm_resource_group" "example" {
     location = var.resource_group_location
     name     = random_pet.rg_name.id
   }
   
   data "azurerm_client_config" "current" {}
   
   resource "azurerm_key_vault" "example" {
     name                = "kv-${random_string.kv_suffix.result}"
     location            = azurerm_resource_group.example.location
     resource_group_name = azurerm_resource_group.example.name
     tenant_id           = data.azurerm_client_config.current.tenant_id
     sku_name            = "standard"
   
     access_policy {
       tenant_id = data.azurerm_client_config.current.tenant_id
       object_id = data.azurerm_client_config.current.object_id
   
       certificate_permissions = [
         "ManageContacts",
       ]
     }
   }
   
   resource "azapi_data_plane_resource" "certificate_contacts" {
     type      = "Microsoft.KeyVault/vaults/certificates/contacts@7.3"
     parent_id = trimsuffix(trimprefix(azurerm_key_vault.example.vault_uri, "https://"), "/")
     name      = "default"
   
     body = {
       contacts = [
         {
           emailAddress = "admin@contoso.com"
           name         = "Admin Contact"
           phone        = "555-555-0100"
         },
         {
           emailAddress = "ops@contoso.com"
           name         = "Operations"
         }
       ]
     }
   }
   

   Wichtige Punkte zu azapi_data_plane_resource:

   • Das type Feld verwendet das Format <resource-type>@<api-version> für die Datenebenen-API.
   • Dies parent_id ist der Hostname des Datenebenenendpunkts (ohne Präfix https:// ), nicht eine ARM-Ressourcen-ID.
   • Das name Feld identifiziert die spezifische Ressource innerhalb des übergeordneten Elements. Für Key Vault Zertifikatkontakte ist der Wert immer default.

5. Erstellen Sie eine Datei mit dem Namen outputs.tf, und fügen Sie den folgenden Code ein:

   output "resource_group_name" {
     value = azurerm_resource_group.example.name
   }
   
   output "key_vault_name" {
     value = azurerm_key_vault.example.name
   }
   
   output "certificate_contacts" {
     value = azapi_data_plane_resource.certificate_contacts.output
   }
   

Führen Sie terraform init aus, um die Terraform-Bereitstellung zu initialisieren. Dieser Befehl lädt den Azure-Anbieter herunter, der zum Verwalten Ihrer Azure-Ressourcen erforderlich ist.

terraform init -upgrade

Wichtige Punkte:

• Der Parameter -upgrade aktualisiert die erforderlichen Anbieter-Plug-Ins auf die neueste Version, die den Versionseinschränkungen der Konfiguration entspricht.

Führen Sie terraform plan aus, um einen Ausführungsplan zu erstellen.

terraform plan -out main.tfplan

Wichtige Punkte:

• Der Befehl terraform plan erstellt einen Ausführungsplan, führt ihn aber nicht aus. Stattdessen wird bestimmt, welche Aktionen erforderlich sind, um die in Ihren Konfigurationsdateien angegebene Konfiguration zu erstellen. Mit diesem Muster können Sie überprüfen, ob der Ausführungsplan Ihren Erwartungen entspricht, bevor Sie Änderungen an tatsächlichen Ressourcen vornehmen.
• Mit dem optionalen -out-Parameter können Sie eine Ausgabedatei für den Plan angeben. Durch die Verwendung des Parameters -out wird sichergestellt, dass genau der von Ihnen überprüfte Plan angewendet wird.

Führen Sie terraform apply aus, um den Ausführungsplan auf Ihre Cloudinfrastruktur anzuwenden.

terraform apply main.tfplan

Wichtige Punkte:

• Der Beispielbefehl terraform apply setzt voraus, dass Sie zuvor terraform plan -out main.tfplan ausgeführt haben.
• Wenn Sie einen anderen Dateinamen für den Parameter -out angegeben haben, verwenden Sie denselben Dateinamen im Aufruf von terraform apply.
• Wenn Sie den Parameter -out nicht verwendet haben, rufen Sie terraform apply ohne Parameter auf.

Überprüfen der Ergebnisse

Azure CLI

Führen Sie az keyvault-Zertifikatkontaktliste aus, um die Zertifikatkontakte abzurufen.

```azurecli
az keyvault certificate contact list --vault-name <key_vault_name>
```

Azure PowerShell

Führen Sie Get-AzKeyVaultCertificateContact aus, um die Zertifikatkontakte abzurufen.

```powershell
Get-AzKeyVaultCertificateContact -VaultName <key_vault_name>
```

Bereinigen von Ressourcen

Wenn Sie die über Terraform erstellten Ressourcen nicht mehr benötigen, führen Sie die folgenden Schritte aus:

1. Führen Sie terraform plan aus, und geben Sie das Flag destroy an.

   terraform plan -destroy -out main.destroy.tfplan
   

   Wichtige Punkte:

   • Der Befehl terraform plan erstellt einen Ausführungsplan, führt ihn aber nicht aus. Stattdessen wird bestimmt, welche Aktionen erforderlich sind, um die in Ihren Konfigurationsdateien angegebene Konfiguration zu erstellen. Mit diesem Muster können Sie überprüfen, ob der Ausführungsplan Ihren Erwartungen entspricht, bevor Sie Änderungen an tatsächlichen Ressourcen vornehmen.
   • Mit dem optionalen -out-Parameter können Sie eine Ausgabedatei für den Plan angeben. Durch die Verwendung des Parameters -out wird sichergestellt, dass genau der von Ihnen überprüfte Plan angewendet wird.

2. Führen Sie den Befehl terraform apply aus, um den Ausführungsplan anzuwenden.

   terraform apply main.destroy.tfplan
   

Problembehandlung von Terraform auf Azure

Behebung häufiger Probleme bei der Verwendung von Terraform in Azure

Nächste Schritte

Übersicht über Terraform AzAPI-Anbieter

Erfahren Sie, wie Sie die AzAPI-Ressource verwenden.

Weiterführende Lektüre

• Wählen Sie zwischen AzureRM- und AzAPI Terraform-Anbietern
• Grundlegendes zum AzAPI-Datenebenenframework