Guida introduttiva: Creare un provider di attestazione di Azure usando Terraform

Attestazione di Microsoft Azure è una soluzione per l'attestazione di ambienti TEE (Trusted Execution Environment). Questa guida introduttiva è incentrata sul processo di creazione di un criterio di Microsoft attestazione di Azure con Terraform.

In questo articolo vengono illustrate le operazioni seguenti:

• Creare un valore casuale per il nome del gruppo di risorse di Azure usando random_pet.
• Creare un gruppo di risorse di Azure usando azurerm_resource_group.
• Creare un provider di attestazione di Azure usando azurerm_attestation_provider.

Prerequisiti

• Installare e configurare Terraform

• Certificato di firma dei criteri: è necessario caricare un certificato X.509, usato dal provider di attestazioni per convalidare i criteri firmati. Questo certificato è firmato da un'autorità di certificazione o autofirmato. Le estensioni di file supportate includono pem, txte cer. Questo articolo presuppone che tu abbia già un certificato X.509 valido.

Implementare il codice Terraform

Nota

Il codice di esempio per questo articolo si trova nel repository GitHub di Azure Terraform. È possibile visualizzare il file di log contenente i risultati del test delle versioni correnti e precedenti di Terraform.

Vedere altri articoli e codice di esempio che illustrano come usare Terraform per gestire le risorse di Azure

1. Creare una directory in cui testare il codice Terraform di esempio e impostarla come directory corrente.

2. Creare un file denominato providers.tf e inserire il codice seguente:

   terraform {
     required_version = ">=0.12"
   
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>2.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
       tls = {
         source  = "hashicorp/tls"
         version = "4.0.4"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

3. Creare un file denominato main.tf e inserire il codice seguente:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "azurerm_resource_group" "rg" {
     location = var.resource_group_location
     name     = random_pet.rg_name.id
   }
   
   locals {
     create_signing_cert = try(!fileexists(var.cert_path), true)
   }
   
   resource "tls_private_key" "signing_cert" {
     count = local.create_signing_cert ? 1 : 0
   
     algorithm = "RSA"
     rsa_bits  = 4096
   }
   
   resource "tls_self_signed_cert" "attestation" {
     count = local.create_signing_cert ? 1 : 0
   
     private_key_pem = tls_private_key.signing_cert[0].private_key_pem
     validity_period_hours = 12
     allowed_uses = [
       "cert_signing",
     ]
   }
   
   resource "random_string" "attestation_suffix" {
     length  = 8
     numeric = false
     special = false
     upper   = false
   }
   
   resource "azurerm_attestation_provider" "corp_attestation" {
     location                        = azurerm_resource_group.rg.location
     name                            = "${var.attestation_provider_name}${random_string.attestation_suffix.result}"
     resource_group_name             = azurerm_resource_group.rg.name
     policy_signing_certificate_data = try(tls_self_signed_cert.attestation[0].cert_pem, file(var.cert_path))
   }
   

4. Creare un file denominato variables.tf e inserire il codice seguente:

   variable "attestation_provider_name" {
     default = "attestation"
   }
   
   variable "cert_path" {
     default = "~/.certs/cert.pem"
   }
   
   variable "resource_group_location" {
     default     = "eastus"
     description = "Location of the resource group."
   }
   
   variable "resource_group_name_prefix" {
     default     = "rg"
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
   }
   

   Punti principali:

   • Modificare il policy_file campo in base alle esigenze in modo che punti al file PEM.

5. Creare un file denominato outputs.tf e inserire il codice seguente:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   

Inizializzare Terraform

Per inizializzare la distribuzione di Terraform, eseguire terraform init. Questo comando scarica il provider di Azure necessario per gestire le risorse di Azure.

terraform init -upgrade

Punti principali:

• Il parametro -upgrade aggiorna i plug-in del provider necessari alla versione più recente conforme ai vincoli di versione della configurazione.

Creare un piano di esecuzione Terraform

Eseguire terraform plan per creare un piano di esecuzione.

terraform plan -out main.tfplan

Punti principali:

• Il comando terraform plan consente di creare un piano di esecuzione, ma non di eseguirlo. Determina invece le azioni necessarie per creare la configurazione specificata nei file di configurazione. Questo modello consente di verificare se il piano di esecuzione corrisponde alle aspettative prima di apportare modifiche alle risorse effettive.
• Il parametro -out facoltativo consente di specificare un file di output per il piano. L'uso del parametro -out garantisce che il piano esaminato sia esattamente quello che viene applicato.

Applicare un piano di esecuzione Terraform

Eseguire terraform apply per applicare il piano di esecuzione all'infrastruttura cloud.

terraform apply main.tfplan

Punti principali:

• Il comando terraform apply di esempio presuppone che in precedenza sia stato eseguito terraform plan -out main.tfplan.
• Se è stato specificato un nome di file diverso per il parametro -out, usare lo stesso nome di file nella chiamata a terraform apply.
• Se non è stato usato il parametro -out, chiamare terraform apply senza parametri.

6. Verificare i risultati

Interfaccia della riga di comando di Azure

1. Ottenere il nome del gruppo di risorse di Azure.

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. Eseguire az attestation list per elencare i provider per il nome del gruppo di risorse specificato.

   az attestation list --resource-group $resource_group_name
   

Pulire le risorse

Quando le risorse create tramite Terraform non sono più necessarie, eseguire i passaggi seguenti:

1. Eseguire il piano Terraform e specificare il flag destroy.

   terraform plan -destroy -out main.destroy.tfplan
   

   Punti principali:

   • Il comando terraform plan consente di creare un piano di esecuzione, ma non di eseguirlo. Determina invece le azioni necessarie per creare la configurazione specificata nei file di configurazione. Questo modello consente di verificare se il piano di esecuzione corrisponde alle aspettative prima di apportare modifiche alle risorse effettive.
   • Il parametro -out facoltativo consente di specificare un file di output per il piano. L'uso del parametro -out garantisce che il piano esaminato sia esattamente quello che viene applicato.

2. Eseguire terraform apply per applicare il piano di esecuzione.

   terraform apply main.destroy.tfplan
   

Risolvere i problemi di Terraform in Azure

Risolvere i problemi comuni relativi all'uso di Terraform in Azure

Passaggi successivi

Panoramica delle attestazione di Azure.