Démarrage rapide : Gérer les contacts des certificats Azure Key Vault avec le fournisseur Terraform AzAPI

Terraform permet la définition, l’aperçu et le déploiement d’une infrastructure cloud. À l’aide de Terraform, vous créez des fichiers de configuration à l’aide de la syntaxe HCL. La syntaxe HCL vous permet de spécifier un fournisseur de services cloud, tel qu’Azure, et les éléments qui composent votre infrastructure cloud. Après avoir créé vos fichiers de configuration, vous créez un plan d’exécution qui vous permet d’afficher un aperçu de vos modifications d’infrastructure avant leur déploiement. Une fois que vous avez vérifié les modifications, vous appliquez le plan d’exécution pour déployer l’infrastructure.

Utilisez azapi_data_plane_resource pour gérer les ressources du plan de données d'Azure dans Terraform. Dans cet exemple, vous configurez des contacts de certificat pour un Azure Key Vault.

Pour connaître les concepts fondamentaux sur le fonctionnement et parent_id les modèles de l’infrastructure de plan de données, consultez Comprendre l’infrastructure de plan de données AzAPI.

  • Créer un Key Vault avec le fournisseur AzureRM
  • Utiliser azapi_data_plane_resource pour configurer des contacts de certificat

Prerequisites

  • Abonnement Azure : si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Lorsque vous vous connectez au portail Azure avec un compte Microsoft, l’abonnement Azure par défaut pour ce compte est utilisé.

Terraform s’authentifie automatiquement à l’aide d’informations de l’abonnement Azure par défaut.

Exécutez az account show pour vérifier le compte Microsoft actuel et l’abonnement Azure.

az account show

Toutes les modifications que vous apportez via Terraform se trouvent sur l’abonnement Azure affiché. Si c’est ce que vous voulez, ignorez le reste de cet article.

Implémenter le code Terraform

  1. Créez un répertoire dans lequel tester l’exemple de code Terraform et définissez-le comme répertoire actuel.

  2. Créez un fichier nommé providers.tf et insérez le code suivant :

    terraform {
  required_providers {
    azapi = {
      source  = "Azure/azapi"
      version = "~> 2.0"
    }
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~> 4.0"
    }
    random = {
      source  = "hashicorp/random"
      version = "~> 3.0"
    }
  }
}

provider "azurerm" {
  features {
    key_vault {
      purge_soft_delete_on_destroy    = true
      recover_soft_deleted_key_vaults = true
    }
  }
}

provider "azapi" {}

  3. Créez un fichier nommé variables.tf et insérez le code suivant :

    variable "resource_group_location" {
  type        = string
  default     = "eastus"
  description = "Location of the resource group."
}

variable "resource_group_name_prefix" {
  type        = string
  default     = "rg"
  description = "Prefix of the resource group name that's combined with a random value to create a unique name."
}

  4. Créez un fichier nommé main.tf et insérez le code suivant :

    resource "random_pet" "rg_name" {
  prefix = var.resource_group_name_prefix
}

resource "random_string" "kv_suffix" {
  length  = 6
  upper   = false
  special = false
}

resource "azurerm_resource_group" "example" {
  location = var.resource_group_location
  name     = random_pet.rg_name.id
}

data "azurerm_client_config" "current" {}

resource "azurerm_key_vault" "example" {
  name                = "kv-${random_string.kv_suffix.result}"
  location            = azurerm_resource_group.example.location
  resource_group_name = azurerm_resource_group.example.name
  tenant_id           = data.azurerm_client_config.current.tenant_id
  sku_name            = "standard"

  access_policy {
    tenant_id = data.azurerm_client_config.current.tenant_id
    object_id = data.azurerm_client_config.current.object_id

    certificate_permissions = [
      "ManageContacts",
    ]
  }
}

resource "azapi_data_plane_resource" "certificate_contacts" {
  type      = "Microsoft.KeyVault/vaults/certificates/contacts@7.3"
  parent_id = trimsuffix(trimprefix(azurerm_key_vault.example.vault_uri, "https://"), "/")
  name      = "default"

  body = {
    contacts = [
      {
        emailAddress = "admin@contoso.com"
        name         = "Admin Contact"
        phone        = "555-555-0100"
      },
      {
        emailAddress = "ops@contoso.com"
        name         = "Operations"
      }
    ]
  }
}

    Points clés sur azapi_data_plane_resource:

    • Le type champ utilise le format <resource-type>@<api-version> de l’API de plan de données.
    • Il parent_id s’agit du nom d’hôte du point de terminaison du plan de données (sans le https:// préfixe), et non d’un ID de ressource ARM.
    • Le name champ identifie la ressource spécifique dans le parent. Pour les contacts de certificat de Key Vault, la valeur est toujours default.

  5. Créez un fichier nommé outputs.tf et insérez le code suivant :

    output "resource_group_name" {
  value = azurerm_resource_group.example.name
}

output "key_vault_name" {
  value = azurerm_key_vault.example.name
}

output "certificate_contacts" {
  value = azapi_data_plane_resource.certificate_contacts.output
}

Exécutez terraform init pour initialiser le déploiement Terraform. Cette commande télécharge le fournisseur Azure requis pour gérer vos ressources Azure.

terraform init -upgrade

Points clés :

  • Le paramètre -upgrade met à niveau les plug-ins de fournisseur nécessaires vers la version la plus récente qui est conforme aux contraintes de version de la configuration.

Exécutez terraform plan pour créer un plan d’exécution.

terraform plan -out main.tfplan

Points clés :

  • La commande terraform plan crée un plan d’exécution, mais ne l’exécute pas. Au lieu de cela, il détermine les actions nécessaires pour créer la configuration spécifiée dans vos fichiers de configuration. Ce modèle vous permet de vérifier si le plan d’exécution correspond à vos attentes avant d’apporter des modifications aux ressources réelles.
  • Le paramètre facultatif -out vous permet de spécifier un fichier de sortie pour le plan. L’utilisation du paramètre -out garantit que le plan que vous avez examiné correspond exactement à ce qui est appliqué.

Exécutez terraform apply pour appliquer le plan d’exécution à votre infrastructure cloud.

terraform apply main.tfplan

Points clés :

  • La commande exemple terraform apply part du principe que vous avez préalablement exécuté terraform plan -out main.tfplan.
  • Si vous avez spécifié un autre nom de fichier pour le paramètre -out, utilisez ce même nom dans l’appel à terraform apply.
  • Si vous n’avez pas utilisé le paramètre -out, appelez terraform apply sans aucun paramètre.

Vérifier les résultats

Exécutez az keyvault certificate contact list pour récupérer les contacts de certificats.

az keyvault certificate contact list --vault-name <key_vault_name>

Nettoyer les ressources

Lorsque vous n’avez plus besoin des ressources créées via Terraform, procédez comme suit :

  1. Exécutez le plan Terraform et spécifiez l’indicateur destroy.

    terraform plan -destroy -out main.destroy.tfplan

    Points clés :

    • La commande terraform plan crée un plan d’exécution, mais ne l’exécute pas. Au lieu de cela, il détermine les actions nécessaires pour créer la configuration spécifiée dans vos fichiers de configuration. Ce modèle vous permet de vérifier si le plan d’exécution correspond à vos attentes avant d’apporter des modifications aux ressources réelles.
    • Le paramètre facultatif -out vous permet de spécifier un fichier de sortie pour le plan. L’utilisation du paramètre -out garantit que le plan que vous avez examiné correspond exactement à ce qui est appliqué.

  2. Exécutez terraform apply pour appliquer le plan d’exécution.

    terraform apply main.destroy.tfplan

Résoudre les problèmes de Terraform sur Azure

Résoudre les problèmes courants liés à l’utilisation de Terraform sur Azure

Étapes suivantes

Vue d’ensemble du fournisseur Terraform AzAPI

Découvrez comment utiliser la ressource AzAPI

Lecture supplémentaire

  • Last updated on