Autentisera Terraform till Azure

Artikel
12/03/2021
8 minuter för att läsa

Om du vill använda Terraform-kommandon mot din Azure-prenumeration måste du först autentisera Terraform till den prenumerationen. Den här artikeln beskriver några vanliga scenarier för autentisering till Azure.

I den här artikeln kan du se hur du:

Förstå vanliga Terraform- och Azure-autentiseringsscenarier

Autentisera via en Microsoft-konto från Cloud Shell (med Bash eller PowerShell)

Autentisera via en Microsoft-konto från Windows (med Hjälp av Bash eller PowerShell)

Skapa ett huvudnamn för tjänsten med hjälp av Azure CLI

Skapa ett huvudnamn för tjänsten med hjälp av Azure PowerShell

Ange autentiseringsuppgifter för tjänstens huvudnamn i miljövariabler

Ange autentiseringsuppgifter för tjänstens huvudnamn i ett Terraform-providerblock

1. Konfigurera din miljö

Azure-prenumeration: Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Konfigurera Terraform: Om du inte redan har gjort det konfigurerar du Terraform med något av följande alternativ:

2. Autentisera Terraform till Azure

Terraform- och Azure-autentiseringsscenarier

Terraform stöder endast autentisering till Azure via Azure CLI. Autentisering med Azure PowerShell stöds inte. Även om du kan använda modulen Azure PowerShell när du utför terraform-arbetet måste du därför först autentisera till Azure med hjälp av Azure CLI.

Den här artikeln beskriver hur du autentiserar Terraform till Azure för följande scenarier. Mer information om alternativ för att autentisera Terraform till Azure finns i Autentisera med hjälp av Azure CLI.

Autentisering via en Microsoft-konto med Cloud Shell (med Bash eller PowerShell) och
Autentisera via en Microsoft-konto med Windows (med Bash eller PowerShell)
Autentisera via ett huvudnamn för tjänsten:
1. Om du inte har ett huvudnamn för tjänsten skapar du ett huvudnamn för tjänsten.
2. Autentisera till Azure med hjälp av miljövariabler eller autentisera till Azure med Terraform-providerblocket

Autentisera till Azure via en Microsoft-konto

En Microsoft-konto är ett användarnamn (associerat med ett e-postmeddelande och dess autentiseringsuppgifter) som används för att logga in på Microsoft-tjänster , till exempel Azure. En Microsoft-konto kan associeras med en eller flera Azure-prenumerationer, där en av dessa prenumerationer är standardprenumerationer.

Följande steg visar hur du loggar in på Azure interaktivt med en Microsoft-konto, listar kontots associerade Azure-prenumerationer (inklusive standard) och anger den aktuella prenumerationen.

Öppna en kommandorad som har åtkomst till Azure CLI.
Kör az login utan några parametrar och följ anvisningarna för att logga in på Azure.
```
az login
```
Viktiga punkter:
- Vid lyckad inloggning visas en lista över de Azure-prenumerationer som är associerade az login med den inloggade Microsoft-konto, inklusive standardprenumerationen.
Bekräfta den aktuella Azure-prenumerationen genom att köra az account show.
```
az account show
```
Om du vill visa alla Azure-prenumerationsnamn och -ID för en Microsoft-konto kör du az account list.
```
az account list --query "[?user.name=='<microsoft_account_email>'].{Name:name, ID:id, Default:isDefault}" --output Table
```
Viktiga punkter:
- Ersätt <microsoft_account_email> platshållaren med den Microsoft-konto-postadress vars Azure-prenumerationer du vill visa.
- Med ett Live-konto, till exempel hotmail eller outlook, kan du behöva ange den fullständigt kvalificerade e-postadressen. Om din e-postadress till exempel admin@hotmail.com är kan du behöva ersätta platshållaren med live.com#admin@hotmail.com .
Om du vill använda en specifik Azure-prenumeration kör du az account set.
```
az account set --subscription "<subscription_id_or_subscription_name>"
```
Viktiga punkter:
- Ersätt <subscription_id_or_subscription_name> platshållaren med ID:t eller namnet på den prenumeration som du vill använda.
- När az account set du anropar visas inte resultatet av växlingen till den angivna Azure-prenumerationen. Du kan dock använda för att az account show bekräfta att den aktuella Azure-prenumerationen har ändrats.
- Om du kör kommandot från föregående steg ser du att az account list Azure-standardprenumerationen har ändrats till den prenumeration som du angav med az account set .

Skapa ett huvudnamn för tjänsten

Automatiserade verktyg som distribuerar eller använder Azure-tjänster , till exempel Terraform, bör alltid ha begränsade behörigheter. Azure erbjuder tjänstens huvudnamn i stället för att program loggar in som en fullständigt privilegierad användare.

Det vanligaste mönstret är att interaktivt logga in på Azure, skapa ett huvudnamn för tjänsten, testa tjänstens huvudnamn och sedan använda tjänstens huvudnamn för framtida autentisering (antingen interaktivt eller från dina skript).

Bash
Azure PowerShell

Logga in på Azure för att skapa ett huvudnamn för tjänsten. När du har autentiserat till Azure via Microsoft-kontokan du gå tillbaka hit.
Om du skapar ett huvudnamn för tjänsten från Git Bash anger du MSYS_NO_PATHCONV miljövariabeln. (Det här steget är inte nödvändigt om du använder Cloud Shell.)
```
export MSYS_NO_PATHCONV=1    
```
Viktiga punkter:
- Du kan ange MSYS_NO_PATHCONV miljövariabeln globalt (för alla terminalsessioner) eller lokalt (endast för den aktuella sessionen). Eftersom det inte är något du gör ofta att skapa ett huvudnamn för tjänsten anger exemplet värdet för den aktuella sessionen. Om du vill ange den här miljövariabeln globalt lägger du till inställningen i ~/.bashrc filen.
Skapa ett huvudnamn för tjänsten genom att köra az ad sp create-for-rbac.
```
az ad sp create-for-rbac --name <service_principal_name> --role Contributor
```
Viktiga punkter:
- Du kan ersätta med <service-principal-name> ett anpassat namn för din miljö eller utelämna parametern helt. Om du utelämnar parametern genereras tjänstens huvudnamn baserat på aktuellt datum och tid.
- När slutförandet är klart az ad sp create-for-rbac visas flera värden. Värdena appIdpassword , och används i tenant nästa steg.
- Lösenordet kan inte hämtas om det förloras. Därför bör du lagra ditt lösenord på en säker plats. Om du glömmer lösenordet kan du återställa autentiseringsuppgifterna för tjänstens huvudnamn.
- I den här artikeln används ett huvudnamn för tjänsten med rollen Deltagare. Mer information om Role-Based Access Control (RBAC) och roller finns i RBAC: Inbyggda roller.
- Utdata från skapandet av tjänstens huvudnamn innehåller känsliga autentiseringsuppgifter. Se till att du inte inkluderar dessa autentiseringsuppgifter i koden eller kontrollera autentiseringsuppgifterna i källkontrollen.
- Mer information om alternativ när du skapar ett huvudnamn för tjänsten med Azure CLI finns i artikeln Skapa tjänstens huvudnamn för Azure med Azure CLI.

Öppna en PowerShell-prompt.
Kör Anslut-AzAccount.
```
Connect-AzAccount
```
Viktiga punkter:
- Vid lyckad inloggning visas Connect-AzAccount information om standardprenumerationen.
- Anteckna eftersom TenantId det behövs för att använda tjänstens huvudnamn.
Bekräfta den aktuella Azure-prenumerationen genom att köra Get-AzContext.
```
Get-AzContext
```
Om du vill visa alla aktiverade Azure-prenumerationer för Microsoft-konto kör du Get-AzSubscription.
```
Get-AzSubscription
```
Om du vill använda en specifik Azure-prenumeration kör du Set-AzContext.
```
Set-AzContext -Subscription "<subscription_id_or_subscription_name>"
```
Viktiga punkter:
- Ersätt <subscription_id_or_subscription_name> platshållaren med ID:t eller namnet på den prenumeration som du vill använda.
Kör New-AzADServicePrincipal för att skapa ett nytt huvudnamn för tjänsten.
```
$sp = New-AzADServicePrincipal -DisplayName <service_principal_name>    
```
Viktiga punkter:
- Du kan ersätta med <service-principal-name> ett anpassat namn för din miljö eller utelämna parametern helt. Om du utelämnar parametern genereras tjänstens huvudnamn baserat på aktuellt datum och tid.
- Rollen Deltagare är standardrollen och har fullständig behörighet att läsa och skriva till ett Azure-konto. I den här artikeln används ett huvudnamn för tjänsten med rollen Deltagare. Mer information om Role-Based Access Control (RBAC) och roller finns i RBAC: Inbyggda roller.
Visa ID för tjänstens huvudnamn.
```
$sp.ApplicationId
```
Viktiga punkter:
- Anteckna program-ID:t för tjänstens huvudnamn eftersom det behövs för att använda tjänstens huvudnamn.
Konvertera det automatiskt genererade lösenordet till text.
```
$BSTR = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret)
$UnsecureSecret = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto($BSTR)
$UnsecureSecret
```
Viktiga punkter:
- Anteckna lösenordet eftersom det behövs för att använda tjänstens huvudnamn.
- Lösenordet kan inte hämtas om det förloras. Därför bör du lagra ditt lösenord på en säker plats. Om du glömmer lösenordet kan du återställa autentiseringsuppgifterna för tjänstens huvudnamn.

Ange autentiseringsuppgifter för tjänstens huvudnamn i miljövariabler

När du har skapat ett huvudnamn för tjänsten kan du ange dess autentiseringsuppgifter för Terraform via miljövariabler.

Bash
Azure PowerShell

Redigera filen ~/.bashrc genom att lägga till följande miljövariabler.

export ARM_SUBSCRIPTION_ID="<azure_subscription_id>"
export ARM_TENANT_ID="<azure_subscription_tenant_id>"
export ARM_CLIENT_ID="<service_principal_appid>"
export ARM_CLIENT_SECRET="<service_principal_password>"

Kör skriptet (eller dess ~/.bashrcsource ~/.bashrc förkortade . ~/.bashrc motsvarighet). Du kan också avsluta och öppna Cloud Shell för att skriptet ska köras automatiskt.
```
. ~/.bashrc
```
När miljövariablerna har angetts kan du verifiera deras värden på följande sätt:
```
printenv | grep ^ARM*
```

Viktiga punkter:

Precis som med alla miljövariabler använder du följande syntax för att komma åt ett Azure-prenumerationsvärde från ett Terraform-skript: ${env.<environment_variable>} . Om du till exempel vill komma åt ARM_SUBSCRIPTION_ID värdet anger du ${env.ARM_SUBSCRIPTION_ID} .
När du skapar och tillämpar Terraform-körningsplaner ändras den Azure-prenumeration som är associerad med tjänstens huvudnamn. Det här kan ibland vara förvirrande om du är inloggad i en Azure-prenumeration och miljövariablerna pekar på en andra Azure-prenumeration. Låt oss titta på följande exempel för att förklara. Anta att du har två Azure-prenumerationer: SubA och SubB. Om den aktuella Azure-prenumerationen är SubA (bestäms via ) medan miljövariablerna pekar på SubB finns alla ändringar som görs av az account show Terraform på SubB. Därför skulle du behöva logga in på din prenumeration på underB för att köra Azure CLI-kommandon eller Azure PowerShell kommandon för att visa ändringarna.

Om du vill ange miljövariablerna i en specifik PowerShell-session använder du följande kod. Ersätt platshållarna med lämpliga värden för din miljö.

$env:ARM_CLIENT_ID="<service_principal_app_id>"
$env:ARM_SUBSCRIPTION_ID="<azure_subscription_id>"
$env:ARM_TENANT_ID="<azure_subscription_tenant_id>"
$env:ARM_CLIENT_SECRET="<service_principal_password>"

Kör följande PowerShell-kommando för att verifiera Azure-miljövariablerna:
```
gci env:ARM_*
```
Om du vill ange miljövariabler för varje PowerShell-session skapar du en PowerShell-profil och anger miljövariablerna i din profil.

Viktiga punkter:

Precis som med alla miljövariabler använder du följande syntax för att komma åt ett Azure-prenumerationsvärde från ett Terraform-skript: ${env.<environment_variable>} . Om du till exempel vill komma åt ARM_SUBSCRIPTION_ID värdet anger du ${env.ARM_SUBSCRIPTION_ID} .
När du skapar och tillämpar Terraform-körningsplaner ändras den Azure-prenumeration som är associerad med tjänstens huvudnamn. Det här kan ibland vara förvirrande om du är inloggad i en Azure-prenumeration och miljövariablerna pekar på en andra Azure-prenumeration. Låt oss titta på följande exempel för att förklara. Anta att du har två Azure-prenumerationer: SubA och SubB. Om den aktuella Azure-prenumerationen är SubA (bestäms via ) medan miljövariablerna pekar på SubB finns alla ändringar som görs av az account show Terraform på SubB. Därför skulle du behöva logga in på din prenumeration på underB för att köra Azure CLI-kommandon eller Azure PowerShell kommandon för att visa ändringarna.

Ange autentiseringsuppgifter för tjänstens huvudnamn i ett Terraform-providerblock

Azure-providerblocket definierar syntax som gör att du kan ange autentiseringsinformation för din Azure-prenumeration.

terraform {
  required_providers {
    azurerm = {
      source = "hashicorp/azurerm"
      version = "~>2.0"
    }
  }
}

provider "azurerm" {
  features {}

  subscription_id   = "<azure_subscription_id>"
  tenant_id         = "<azure_subscription_tenant_id>"
  client_id         = "<service_principal_appid>"
  client_secret     = "<service_principal_password>"
}

# Your code goes here

Varning

Det kan vara praktiskt att ange autentiseringsuppgifterna för din Azure-prenumeration i en Terraform-konfigurationsfil – särskilt vid testning. Det är dock inte lämpligt att lagra autentiseringsuppgifter i en klartextfil som kan visas av icke-betrodda personer.

3. Verifiera resultaten

Kontrollera att du har autentiserats för Azure-prenumerationen genom att visa den aktuella prenumerationen.

Bash
Azure PowerShell

Bekräfta den aktuella Azure-prenumerationen via Azure CLI genom att köra az account show.

az account show

Bekräfta den aktuella Azure-prenumerationen via Azure PowerShell genom att köra Get-AzContext.

Get-AzContext

Nästa steg

Skapa en Azure-resursgrupp