クイックスタート: Terraform を使用して Azure Attestation プロバイダーを作成する

Microsoft Azure Attestation は、信頼できる実行環境 (TEE) を証明するためのソリューションです。 このクイックスタートでは、Terraform を使用して Microsoft Azure Attestation ポリシーを作成する過程を中心に取り上げます。

この記事では、次のことについて説明します。

• random_pet を使用して Azure リソース グループ名のランダムな値を作成する。
• azurerm_resource_group を使用して Azure リソース グループを作成する。
• azurerm_attestation_provider を使用して Azure Attestation プロバイダーを作成します。

前提条件

• Terraform のインストールと構成

• ポリシー署名証明書: 署名されたポリシーを検証するために構成証明プロバイダーによって使用される X.509 証明書をアップロードする必要があります。 この証明書は、証明機関によって署名されているか、自己署名されています。 サポートされているファイル拡張子には、pem、txt、cer が含まれます。 この記事は、有効な X.509 証明書をすでに持っていることを前提としています。

Terraform コードを実装する

注意

この記事のサンプル コードは、Azure Terraform GitHub リポジトリにあります。 Terraform の現在および以前のバージョンのテスト結果を含むログ ファイルを表示できます。

Terraform を使用して Azure リソースを管理する方法を示すその他の記事とサンプル コードを参照してください

1. サンプルの Terraform コードをテストするディレクトリを作成し、それを現在のディレクトリにします。

2. providers.tf という名前のファイルを作成し、次のコードを挿入します。

   terraform {
     required_version = ">=0.12"
   
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
       tls = {
         source  = "hashicorp/tls"
         version = "4.0.4"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

3. main.tf という名前のファイルを作成し、次のコードを挿入します。

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "azurerm_resource_group" "rg" {
     location = var.resource_group_location
     name     = random_pet.rg_name.id
   }
   
   locals {
     create_signing_cert = try(!fileexists(var.cert_path), true)
   }
   
   resource "tls_private_key" "signing_cert" {
     count = local.create_signing_cert ? 1 : 0
   
     algorithm = "RSA"
     rsa_bits  = 4096
   }
   
   resource "tls_self_signed_cert" "attestation" {
     count = local.create_signing_cert ? 1 : 0
   
     private_key_pem       = tls_private_key.signing_cert[0].private_key_pem
     validity_period_hours = 12
     allowed_uses = [
       "cert_signing",
     ]
   }
   
   resource "random_string" "attestation_suffix" {
     length  = 8
     numeric = false
     special = false
     upper   = false
   }
   
   resource "azurerm_attestation_provider" "corp_attestation" {
     location                        = azurerm_resource_group.rg.location
     name                            = "${var.attestation_provider_name}${random_string.attestation_suffix.result}"
     resource_group_name             = azurerm_resource_group.rg.name
     policy_signing_certificate_data = try(tls_self_signed_cert.attestation[0].cert_pem, file(var.cert_path))
     #https://github.com/hashicorp/terraform-provider-azurerm/issues/21998#issuecomment-1573312297
     lifecycle {
       ignore_changes = [
         "open_enclave_policy_base64",
         "sev_snp_policy_base64",
         "sgx_enclave_policy_base64",
         "tpm_policy_base64",
       ]
     }
   }
   

4. variables.tf という名前のファイルを作成し、次のコードを挿入します。

   variable "attestation_provider_name" {
     default = "attestation"
   }
   
   variable "cert_path" {
     default = "~/.certs/cert.pem"
   }
   
   variable "resource_group_location" {
     default     = "eastus"
     description = "Location of the resource group."
   }
   
   variable "resource_group_name_prefix" {
     default     = "rg"
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
   }
   

   重要なポイント:

   • 必要に応じて policy_file フィールドを調整して、PEM ファイルをポイントします。

5. outputs.tf という名前のファイルを作成し、次のコードを挿入します。

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   

Terraform を初期化する

terraform init を実行して、Terraform のデプロイを初期化します。 このコマンドによって、Azure リソースを管理するために必要な Azure プロバイダーがダウンロードされます。

terraform init -upgrade

重要なポイント:

• -upgrade パラメーターは、必要なプロバイダー プラグインを、構成のバージョン制約に準拠する最新バージョンにアップグレードします。

Terraform 実行プランを作成する

terraform plan を実行して、実行プランを作成します。

terraform plan -out main.tfplan

重要なポイント:

• terraform plan コマンドは、実行プランを作成しますが、実行はしません。 代わりに、構成ファイルに指定された構成を作成するために必要なアクションを決定します。 このパターンを使用すると、実際のリソースに変更を加える前に、実行プランが自分の想定と一致しているかどうかを確認できます。
• 省略可能な -out パラメーターを使用すると、プランの出力ファイルを指定できます。 -out パラメーターを使用すると、レビューしたプランが適用内容とまったく同じであることが確実になります。

Terraform 実行プランを適用する

terraform apply を実行して、クラウド インフラストラクチャに実行プランを適用します。

terraform apply main.tfplan

重要なポイント:

• terraform apply コマンドの例は、以前に terraform plan -out main.tfplan が実行されたことを前提としています。
• -out パラメーターに別のファイル名を指定した場合は、terraform apply の呼び出しで同じファイル名を使用します。
• -out パラメーターを使用しなかった場合は、パラメーターを指定せずに terraform apply を呼び出します。

6. 結果を確認する

Azure CLI

1. Azure リソース グループ名を取得します。

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. az attestation list を実行して、指定したリソース グループ名のプロバイダーを一覧表示します。

   az attestation list --resource-group $resource_group_name
   

リソースをクリーンアップする

Terraform を使用して作成したリソースが不要になった場合は、次の手順を実行します。

1. terraform plan を実行して、destroy フラグを指定します。

   terraform plan -destroy -out main.destroy.tfplan
   

   重要なポイント:

   • terraform plan コマンドは、実行プランを作成しますが、実行はしません。 代わりに、構成ファイルに指定された構成を作成するために必要なアクションを決定します。 このパターンを使用すると、実際のリソースに変更を加える前に、実行プランが自分の想定と一致しているかどうかを確認できます。
   • 省略可能な -out パラメーターを使用すると、プランの出力ファイルを指定できます。 -out パラメーターを使用すると、レビューしたプランが適用内容とまったく同じであることが確実になります。

2. terraform apply を実行して、実行プランを適用します。

   terraform apply main.destroy.tfplan
   

Azure での Terraform のトラブルシューティング

Azure で Terraform を使用する場合の一般的な問題のトラブルシューティング

次のステップ

Azure Attestation の概要。