Quickstart: Een Azure-sleutelkluis en -sleutel maken met behulp van Terraform

Azure Key Vault is een cloudservice die een beveiligd archief biedt voor geheimen, zoals sleutels, wachtwoorden en certificaten. Dit artikel is gericht op het implementeren van een Terraform-bestand om een sleutelkluis en een sleutel te maken.

Terraform maakt de definitie, preview en implementatie van de cloudinfrastructuur mogelijk. Met Terraform maakt u configuratiebestanden met behulp van de HCL-syntaxis. Met de HCL-syntaxis kunt u de cloudprovider opgeven, zoals Azure, en de elementen waaruit uw cloudinfrastructuur bestaat. Nadat u uw configuratiebestanden hebt gemaakt, maakt u een uitvoeringsplan waarmee u een voorbeeld van uw infrastructuurwijzigingen kunt bekijken voordat ze worden geïmplementeerd. Zodra u de wijzigingen hebt gecontroleerd, past u het uitvoeringsplan toe om de infrastructuur te implementeren.

In dit artikel leert u het volgende:

• Maak een willekeurige waarde voor de naam van de Azure-resourcegroep met behulp van random_pet
• Een Azure-resourcegroep maken met behulp van azurerm_resource_group
• Een willekeurige waarde maken met behulp van random_string
• Een Azure-sleutelkluis maken met behulp van azurerm_key_vault
• Een Azure-sleutelkluissleutel maken met behulp van azurerm_key_vault_key

Vereisten

• Terraform installeren en configureren

De Terraform-code implementeren

Notitie

De voorbeeldcode voor dit artikel bevindt zich in de Azure Terraform GitHub-opslagplaats. U kunt het logboekbestand weergeven met de testresultaten van de huidige en eerdere versies van Terraform.

Zie meer artikelen en voorbeeldcode over het gebruik van Terraform voor het beheren van Azure-resources

1. Maak een map waarin u de Terraform-voorbeeldcode wilt testen en uitvoeren en maak er de huidige map van.

2. Maak een bestand met de naam providers.tf en voeg de volgende code in:

   terraform {
     required_version = ">=1.0"
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
     }
   }
   provider "azurerm" {
     features {}
   }
   

3. Maak een bestand met de naam main.tf en voeg de volgende code in:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "azurerm_resource_group" "rg" {
     name     = random_pet.rg_name.id
     location = var.resource_group_location
   }
   
   data "azurerm_client_config" "current" {}
   
   resource "random_string" "azurerm_key_vault_name" {
     length  = 13
     lower   = true
     numeric = false
     special = false
     upper   = false
   }
   
   locals {
     current_user_id = coalesce(var.msi_id, data.azurerm_client_config.current.object_id)
   }
   
   resource "azurerm_key_vault" "vault" {
     name                       = coalesce(var.vault_name, "vault-${random_string.azurerm_key_vault_name.result}")
     location                   = azurerm_resource_group.rg.location
     resource_group_name        = azurerm_resource_group.rg.name
     tenant_id                  = data.azurerm_client_config.current.tenant_id
     sku_name                   = var.sku_name
     soft_delete_retention_days = 7
   
     access_policy {
       tenant_id = data.azurerm_client_config.current.tenant_id
       object_id = local.current_user_id
   
       key_permissions    = var.key_permissions
       secret_permissions = var.secret_permissions
     }
   }
   
   resource "random_string" "azurerm_key_vault_key_name" {
     length  = 13
     lower   = true
     numeric = false
     special = false
     upper   = false
   }
   
   resource "azurerm_key_vault_key" "key" {
     name = coalesce(var.key_name, "key-${random_string.azurerm_key_vault_key_name.result}")
   
     key_vault_id = azurerm_key_vault.vault.id
     key_type     = var.key_type
     key_size     = var.key_size
     key_opts     = var.key_ops
   
     rotation_policy {
       automatic {
         time_before_expiry = "P30D"
       }
   
       expire_after         = "P90D"
       notify_before_expiry = "P29D"
     }
   }
   

4. Maak een bestand met de naam variables.tf en voeg de volgende code in:

   variable "resource_group_location" {
     type        = string
     description = "Location for all resources."
     default     = "eastus"
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
     default     = "rg"
   }
   
   variable "vault_name" {
     type        = string
     description = "The name of the key vault to be created. The value will be randomly generated if blank."
     default     = ""
   }
   
   variable "key_name" {
     type        = string
     description = "The name of the key to be created. The value will be randomly generated if blank."
     default     = ""
   }
   
   variable "sku_name" {
     type        = string
     description = "The SKU of the vault to be created."
     default     = "standard"
     validation {
       condition     = contains(["standard", "premium"], var.sku_name)
       error_message = "The sku_name must be one of the following: standard, premium."
     }
   }
   
   variable "key_permissions" {
     type        = list(string)
     description = "List of key permissions."
     default     = ["List", "Create", "Delete", "Get", "Purge", "Recover", "Update", "GetRotationPolicy", "SetRotationPolicy"]
   }
   
   variable "secret_permissions" {
     type        = list(string)
     description = "List of secret permissions."
     default     = ["Set"]
   }
   
   variable "key_type" {
     description = "The JsonWebKeyType of the key to be created."
     default     = "RSA"
     type        = string
     validation {
       condition     = contains(["EC", "EC-HSM", "RSA", "RSA-HSM"], var.key_type)
       error_message = "The key_type must be one of the following: EC, EC-HSM, RSA, RSA-HSM."
     }
   }
   
   variable "key_ops" {
     type        = list(string)
     description = "The permitted JSON web key operations of the key to be created."
     default     = ["decrypt", "encrypt", "sign", "unwrapKey", "verify", "wrapKey"]
   }
   
   variable "key_size" {
     type        = number
     description = "The size in bits of the key to be created."
     default     = 2048
   }
   
   variable "msi_id" {
     type        = string
     description = "The Managed Service Identity ID. If this value isn't null (the default), 'data.azurerm_client_config.current.object_id' will be set to this value."
     default     = null
   }
   

5. Maak een bestand met de naam outputs.tf en voeg de volgende code in:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   
   output "azurerm_key_vault_name" {
     value = azurerm_key_vault.vault.name
   }
   
   output "azurerm_key_vault_id" {
     value = azurerm_key_vault.vault.id
   }
   

Terraform initialiseren

Voer terraform init uit om de Terraform-implementatie te initialiseren. Met deze opdracht downloadt u de Azure-provider die is vereist voor het beheren van uw Azure-resources.

terraform init -upgrade

Belangrijke punten:

• Met de -upgrade parameter worden de benodigde providerinvoegtoepassingen bijgewerkt naar de nieuwste versie die voldoet aan de versiebeperkingen van de configuratie.

Een Terraform-uitvoeringsplan maken

Voer het terraform-plan uit om een uitvoeringsplan te maken.

terraform plan -out main.tfplan

Belangrijke punten:

• Met de terraform plan opdracht wordt een uitvoeringsplan gemaakt, maar niet uitgevoerd. In plaats daarvan wordt bepaald welke acties nodig zijn om de configuratie te maken die is opgegeven in uw configuratiebestanden. Met dit patroon kunt u controleren of het uitvoeringsplan aan uw verwachtingen voldoet voordat u wijzigingen aanbrengt in de werkelijke resources.
• Met de optionele -out parameter kunt u een uitvoerbestand voor het plan opgeven. Als u de -out parameter gebruikt, zorgt u ervoor dat het plan dat u hebt gecontroleerd, precies is wat wordt toegepast.
• Zie de sectie Beveiligingswaarschuwingen voor meer informatie over permanente uitvoeringsplannen en beveiliging.

Een Terraform-uitvoeringsplan toepassen

Voer terraform apply uit om het uitvoeringsplan toe te passen op uw cloudinfrastructuur.

terraform apply main.tfplan

Belangrijke punten:

• In de voorbeeldopdracht terraform apply wordt ervan uitgegaan dat u eerder hebt uitgevoerd terraform plan -out main.tfplan.
• Als u een andere bestandsnaam hebt opgegeven voor de -out parameter, gebruikt u diezelfde bestandsnaam in de aanroep van terraform apply.
• Als u de -out parameter niet hebt gebruikt, roept u terraform apply aan zonder parameters.

De resultaten controleren

Azure-CLI

1. Haal de naam van de Azure-sleutelkluis op.

   azurerm_key_vault_name=$(terraform output -raw azurerm_key_vault_name)
   

2. Voer az keyvault key list uit om informatie over de sleutels van de sleutelkluis weer te geven.

   az keyvault key list --vault-name $azurerm_key_vault_name
   

Azure PowerShell

1. Haal de naam van de Azure-sleutelkluis op.

   $azurerm_key_vault_name=$(terraform output -raw azurerm_key_vault_name)
   

2. Voer Get-AzKeyVault uit om informatie over de nieuwe sleutelkluis weer te geven.

   Get-AzKeyVaultKey -VaultName $azurerm_key_vault_name
   

Resources opschonen

Wanneer u de resources die zijn gemaakt via Terraform niet meer nodig hebt, voert u de volgende stappen uit:

1. Voer het terraform-plan uit en geef de vlag op destroy .

   terraform plan -destroy -out main.destroy.tfplan
   

   Belangrijke punten:

   • Met de terraform plan opdracht wordt een uitvoeringsplan gemaakt, maar niet uitgevoerd. In plaats daarvan wordt bepaald welke acties nodig zijn om de configuratie te maken die is opgegeven in uw configuratiebestanden. Met dit patroon kunt u controleren of het uitvoeringsplan aan uw verwachtingen voldoet voordat u wijzigingen aanbrengt in de werkelijke resources.
   • Met de optionele -out parameter kunt u een uitvoerbestand voor het plan opgeven. Als u de -out parameter gebruikt, zorgt u ervoor dat het plan dat u hebt gecontroleerd, precies is wat wordt toegepast.
   • Zie de sectie Beveiligingswaarschuwingen voor meer informatie over permanente uitvoeringsplannen en beveiliging.

2. Voer terraform apply uit om het uitvoeringsplan toe te passen.

   terraform apply main.destroy.tfplan
   

Problemen met Terraform in Azure oplossen

Veelvoorkomende problemen bij het gebruik van Terraform in Azure oplossen

Volgende stappen

Overzicht van Key Vault-beveiliging