Guia de início rápido: criar um livro-razão confidencial do Azure usando o Terraform

Neste início rápido, você cria um grupo de recursos do Azure e um livro-razão confidencial usando o Terraform. O livro-razão confidencial do Azure é um serviço totalmente gerenciado que fornece um registro à prova de violação para armazenar dados confidenciais. Baseia-se na computação confidencial do Azure, que utiliza ambientes de execução fidedignos baseados em hardware para proteger os dados contra ameaças, mesmo quando estão a ser utilizados. Este livro razão foi concebido para manter a confidencialidade e integridade dos dados que armazena, tornando-o ideal para casos de utilização que requerem elevados níveis de proteção de dados. Os recursos criados neste script incluem o livro-razão confidencial do Azure e um grupo de recursos do Azure.

Terraform permite a definição, visualização e implantação de infraestrutura em nuvem. Usando Terraform, você cria arquivos de configuração usando a sintaxe HCL. A sintaxe HCL permite especificar o provedor de nuvem - como o Azure - e os elementos que compõem sua infraestrutura de nuvem. Depois de criar os arquivos de configuração, você cria um plano de execução que permite visualizar as alterações na infraestrutura antes que elas sejam implantadas. Depois de verificar as alterações, você aplica o plano de execução para implantar a infraestrutura.

• Gere um nome de animal de estimação aleatório para o grupo de recursos.
• Crie um grupo de recursos do Azure com o nome gerado.
• Recupere a configuração atual do cliente do Azure.
• Gere uma cadeia de caracteres aleatória para o nome do livro-razão confidencial do Azure.
• Crie um livro-razão confidencial do Azure com o nome gerado e atribua-o ao grupo de recursos.
• Atribua uma entidade de serviço baseada no Azure AD ao livro-razão confidencial.
• Marque o livro razão confidencial como exemplo.
• Produza o nome do grupo de recursos, o nome do livro-razão confidencial, o tipo de livro-razão confidencial e o nome da função do livro-razão confidencial.
• Especifique a versão necessária do Terraform e os provedores necessários.
• Defina o provedor do Azure sem recursos adicionais.
• Defina variáveis para o prefixo do nome do grupo de recursos, local do grupo de recursos, nome do livro-razão confidencial, tipo de razão confidencial e nome da função do livro-razão confidencial.

Pré-requisitos

• Crie uma conta do Azure com uma assinatura ativa. Você pode criar uma conta gratuitamente.

• Instalar e configurar o Terraform

Implementar o código Terraform

Nota

O código de exemplo para este artigo está localizado no repositório GitHub do Azure Terraform. Você pode visualizar o arquivo de log que contém os resultados do teste das versões atual e anterior do Terraform.

Veja mais artigos e código de exemplo mostrando como usar o Terraform para gerenciar recursos do Azure:

1. Crie um diretório no qual testar e executar o código Terraform de exemplo e torná-lo o diretório atual.

2. Crie um arquivo chamado main.tfe insira o seguinte código:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "azurerm_resource_group" "rg" {
     location = var.resource_group_location
     name     = random_pet.rg_name.id
   }
   
   data "azurerm_client_config" "current" {
   }
   
   resource "random_string" "azurerm_confidential_ledger_name" {
     length  = 13
     lower   = true
     numeric = false
     special = false
     upper   = false
   }
   
   resource "azurerm_confidential_ledger" "example" {
     name                = coalesce(var.confidential_ledger_name, "ledger-${random_string.azurerm_confidential_ledger_name.result}")
     resource_group_name = azurerm_resource_group.rg.name
     location            = azurerm_resource_group.rg.location
     ledger_type         = var.confidential_ledger_type
   
     azuread_based_service_principal {
       principal_id     = data.azurerm_client_config.current.object_id
       tenant_id        = data.azurerm_client_config.current.tenant_id
       ledger_role_name = var.confidential_ledger_role_name
     }
   
     tags = {
       IsExample = "True"
     }
   }
   

3. Crie um arquivo chamado outputs.tfe insira o seguinte código:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   
   output "confidential_ledger_name" {
     value = azurerm_confidential_ledger.example.name
   }
   
   output "confidential_ledger_type" {
     value = azurerm_confidential_ledger.example.ledger_type
   }
   
   output "confidential_ledger_role_name" {
     value = azurerm_confidential_ledger.example.azuread_based_service_principal[0].ledger_role_name
   }
   

4. Crie um arquivo chamado providers.tfe insira o seguinte código:

   terraform {
     required_version = ">=1.0"
   
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

5. Crie um arquivo chamado variables.tfe insira o seguinte código:

   variable "resource_group_name_prefix" {
     type        = string
     default     = "rg"
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
   }
   
   variable "resource_group_location" {
     type        = string
     default     = "eastus"
     description = "Location of the resource group."
   }
   
   variable "confidential_ledger_name" {
     type        = string
     description = "The name of the confidential ledger resource. The value will be randomly generated if blank."
     default     = ""
   }
   
   variable "confidential_ledger_type" {
     type        = string
     default     = "Public"
     validation {
       condition     = contains(["Public", "Private"], var.confidential_ledger_type)
       error_message = "The confidential ledger type value must be one of the following: Public, Private."
     }
     description = "Type of the confidential ledger."
   }
   
   variable "confidential_ledger_role_name" {
     type        = string
     default     = "Administrator"
     description = "Role name for the confidential ledger."
   }
   

Inicializar o Terraform

Execute terraform init para inicializar a implantação do Terraform. Este comando baixa o provedor do Azure necessário para gerenciar seus recursos do Azure.

terraform init -upgrade

Pontos principais:

• O -upgrade parâmetro atualiza os plug-ins de provedor necessários para a versão mais recente que está em conformidade com as restrições de versão da configuração.

Criar um plano de execução do Terraform

Execute terraform plan para criar um plano de execução.

terraform plan -out main.tfplan

Pontos principais:

• O terraform plan comando cria um plano de execução, mas não o executa. Em vez disso, ele determina quais ações são necessárias para criar a configuração especificada em seus arquivos de configuração. Esse padrão permite que você verifique se o plano de execução corresponde às suas expectativas antes de fazer quaisquer alterações nos recursos reais.
• O parâmetro opcional -out permite especificar um arquivo de saída para o plano. O uso do -out parâmetro garante que o plano revisado seja exatamente o que é aplicado.

Aplicar um plano de execução Terraform

Execute terraform apply para aplicar o plano de execução à sua infraestrutura de nuvem.

terraform apply main.tfplan

Pontos principais:

• O comando de exemplo terraform apply pressupõe que você executou terraform plan -out main.tfplananteriormente o .
• Se você especificou um nome de arquivo diferente para o -out parâmetro, use esse mesmo nome de arquivo na chamada para terraform apply.
• Se você não usou o -out parâmetro, ligue terraform apply sem nenhum parâmetro.

Verificar os resultados

CLI do Azure

Execute az confidential-ledger show para exibir o livro-razão confidencial do Azure.

az confidentialledger show --ledger-name <ledger_name> --resource-group <resource_group_name>

Você deve substituir <ledger_name> pelo nome do seu razão confidencial do Azure e <resource_group_name> pelo nome do seu grupo de recursos.

---

Clean up resources (Limpar recursos)

Quando você não precisar mais dos recursos criados via Terraform, execute as seguintes etapas:

1. Execute o comando terraform plan e especifique o destroy flag.

   terraform plan -destroy -out main.destroy.tfplan
   

   Pontos principais:

   • O terraform plan comando cria um plano de execução, mas não o executa. Em vez disso, ele determina quais ações são necessárias para criar a configuração especificada em seus arquivos de configuração. Esse padrão permite que você verifique se o plano de execução corresponde às suas expectativas antes de fazer quaisquer alterações nos recursos reais.
   • O parâmetro opcional -out permite especificar um arquivo de saída para o plano. O uso do -out parâmetro garante que o plano revisado seja exatamente o que é aplicado.

2. Execute terraform apply para aplicar o plano de execução.

   terraform apply main.destroy.tfplan
   

Solucionar problemas do Terraform no Azure

Solucione problemas comuns ao usar o Terraform no Azure.

Próximos passos

Veja mais artigos sobre o registo confidencial do Azure.