Краткое руководство. Создание хранилища ключей Azure и ключа с помощью Terraform

Azure Key Vault — это облачная служба, которая предоставляет защищенное хранилище для секретов, таких как ключи, пароли и сертификаты. В этой статье рассматривается процесс развертывания файла Terraform для создания хранилища ключей и ключа.

Terraform позволяет определять, просматривать и развертывать облачную инфраструктуру. Используя Terraform, вы создаёте файлы конфигурации, применяя синтаксис HCL. Синтаксис HCL позволяет указать поставщика облачных служб, таких как Azure, и элементы, составляющие облачную инфраструктуру. После создания файлов конфигурации вы создаете план выполнения, который позволяет предварительно просмотреть изменения в инфраструктуре до их внедрения. После того как вы проверите изменения, примените план выполнения для развертывания инфраструктуры.

В этой статье вы узнаете, как:

Создание случайного значения для имени группы ресурсов Azure с помощью random_pet
Создайте группу ресурсов Azure, используя azurerm_resource_group
Создание случайного значения с помощью random_string
Создание хранилища ключей Azure с помощью azurerm_key_vault
Создание ключа хранилища ключей Azure с помощью azurerm_key_vault_key

Предпосылки

Установка и настройка Terraform

Реализуйте код Terraform

Замечание

Образец кода для этой статьи находится в репозитории Azure Terraform GitHub. Вы можете просмотреть файл журнала, содержащий результаты теста из текущих и предыдущих версий Terraform.

См. другие статьи и примеры кода, в которых показано, как использовать Terraform для управления ресурсами Azure.

Создайте каталог для тестирования и выполнения примера кода Terraform и сделайте его текущим каталогом.

Создайте файл с именем providers.tf и вставьте следующий код:

terraform {
  required_version = ">=1.0"
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~>3.0"
    }
    random = {
      source  = "hashicorp/random"
      version = "~>3.0"
    }
  }
}
provider "azurerm" {
  features {}
}

Создайте файл с именем main.tf и вставьте следующий код:

resource "random_pet" "rg_name" {
  prefix = var.resource_group_name_prefix
}

resource "azurerm_resource_group" "rg" {
  name     = random_pet.rg_name.id
  location = var.resource_group_location
}

data "azurerm_client_config" "current" {}

resource "random_string" "azurerm_key_vault_name" {
  length  = 13
  lower   = true
  numeric = false
  special = false
  upper   = false
}

locals {
  current_user_id = coalesce(var.msi_id, data.azurerm_client_config.current.object_id)
}

resource "azurerm_key_vault" "vault" {
  name                       = coalesce(var.vault_name, "vault-${random_string.azurerm_key_vault_name.result}")
  location                   = azurerm_resource_group.rg.location
  resource_group_name        = azurerm_resource_group.rg.name
  tenant_id                  = data.azurerm_client_config.current.tenant_id
  sku_name                   = var.sku_name
  soft_delete_retention_days = 7

  access_policy {
    tenant_id = data.azurerm_client_config.current.tenant_id
    object_id = local.current_user_id

    key_permissions    = var.key_permissions
    secret_permissions = var.secret_permissions
  }
}

resource "random_string" "azurerm_key_vault_key_name" {
  length  = 13
  lower   = true
  numeric = false
  special = false
  upper   = false
}

resource "azurerm_key_vault_key" "key" {
  name = coalesce(var.key_name, "key-${random_string.azurerm_key_vault_key_name.result}")

  key_vault_id = azurerm_key_vault.vault.id
  key_type     = var.key_type
  key_size     = var.key_size
  key_opts     = var.key_ops

  rotation_policy {
    automatic {
      time_before_expiry = "P30D"
    }

    expire_after         = "P90D"
    notify_before_expiry = "P29D"
  }
}

Создайте файл с именем variables.tf и вставьте следующий код:

variable "resource_group_location" {
  type        = string
  description = "Location for all resources."
  default     = "eastus"
}

variable "resource_group_name_prefix" {
  type        = string
  description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
  default     = "rg"
}

variable "vault_name" {
  type        = string
  description = "The name of the key vault to be created. The value will be randomly generated if blank."
  default     = ""
}

variable "key_name" {
  type        = string
  description = "The name of the key to be created. The value will be randomly generated if blank."
  default     = ""
}

variable "sku_name" {
  type        = string
  description = "The SKU of the vault to be created."
  default     = "standard"
  validation {
    condition     = contains(["standard", "premium"], var.sku_name)
    error_message = "The sku_name must be one of the following: standard, premium."
  }
}

variable "key_permissions" {
  type        = list(string)
  description = "List of key permissions."
  default     = ["List", "Create", "Delete", "Get", "Purge", "Recover", "Update", "GetRotationPolicy", "SetRotationPolicy"]
}

variable "secret_permissions" {
  type        = list(string)
  description = "List of secret permissions."
  default     = ["Set"]
}

variable "key_type" {
  description = "The JsonWebKeyType of the key to be created."
  default     = "RSA"
  type        = string
  validation {
    condition     = contains(["EC", "EC-HSM", "RSA", "RSA-HSM"], var.key_type)
    error_message = "The key_type must be one of the following: EC, EC-HSM, RSA, RSA-HSM."
  }
}

variable "key_ops" {
  type        = list(string)
  description = "The permitted JSON web key operations of the key to be created."
  default     = ["decrypt", "encrypt", "sign", "unwrapKey", "verify", "wrapKey"]
}

variable "key_size" {
  type        = number
  description = "The size in bits of the key to be created."
  default     = 2048
}

variable "msi_id" {
  type        = string
  description = "The Managed Service Identity ID. If this value isn't null (the default), 'data.azurerm_client_config.current.object_id' will be set to this value."
  default     = null
}

Создайте файл с именем outputs.tf и вставьте следующий код:

output "resource_group_name" {
  value = azurerm_resource_group.rg.name
}

output "azurerm_key_vault_name" {
  value = azurerm_key_vault.vault.name
}

output "azurerm_key_vault_id" {
  value = azurerm_key_vault.vault.id
}

Инициализируйте Terraform

Запустите terraform init, чтобы инициализировать развертывание Terraform. Эта команда загружает поставщика Azure, необходимого для управления вашими ресурсами в Azure.

terraform init -upgrade

Основные моменты:

Параметр -upgrade обновляет необходимые плагины провайдера до самой последней версии, которая соответствует ограничениям версии конфигурации.

Создайте план запуска Terraform

Запустите команду terraform plan, чтобы создать план выполнения.

terraform plan -out main.tfplan

Основные моменты:

Команда terraform plan создает план выполнения, но не выполняет его. Вместо этого он определяет, какие действия необходимы для создания конфигурации, указанной в ваших конфигурационных файлах. Данный шаблон позволяет вам убедиться, что план выполнения соответствует вашим ожиданиям, прежде чем вносить какие-либо изменения в реальные ресурсы.
Необязательный параметр -out позволяет указать выходной файл для плана. Использование параметра -out обеспечивает, что план, который вы просмотрели, будет применен точно в таком виде.

Применение плана выполнения Terraform

Выполните команду terraform apply, чтобы применить план выполнения к вашей облачной инфраструктуре.

terraform apply main.tfplan

Основные моменты:

Пример команды terraform apply предполагает, что вы ранее выполнили команду terraform plan -out main.tfplan.
Если вы указали другое имя файла для параметра -out, используйте то же имя файла при вызове terraform apply.
Если вы не использовали параметр -out, вызовите terraform apply без параметров.

Получите имя хранилища ключей Azure.

azurerm_key_vault_name=$(terraform output -raw azurerm_key_vault_name)

Запустите az keyvault key list , чтобы отобразить сведения о ключах хранилища ключей.
```
az keyvault key list --vault-name $azurerm_key_vault_name
```

Получите имя хранилища ключей Azure.

$azurerm_key_vault_name=$(terraform output -raw azurerm_key_vault_name)

Запустите Get-AzKeyVault , чтобы отобразить сведения о новом хранилище ключей.
```
Get-AzKeyVaultKey -VaultName $azurerm_key_vault_name
```

Очистите ресурсы

Если вам больше не нужны ресурсы, созданные через Terraform, выполните следующие действия:

Запустите команду terraform plan и укажите флаг destroy.
```
terraform plan -destroy -out main.destroy.tfplan
```
Основные моменты:
- Команда terraform plan создает план выполнения, но не выполняет его. Вместо этого он определяет, какие действия необходимы для создания конфигурации, указанной в ваших конфигурационных файлах. Данный шаблон позволяет вам убедиться, что план выполнения соответствует вашим ожиданиям, прежде чем вносить какие-либо изменения в реальные ресурсы.
- Необязательный параметр -out позволяет указать выходной файл для плана. Использование параметра -out обеспечивает, что план, который вы просмотрели, будет применен точно в таком виде.
Чтобы применить план выполнения, запустите команду terraform apply.
```
terraform apply main.destroy.tfplan
```

Устранение неполадок с Terraform в Azure

Устранение распространенных проблем при использовании Terraform на Azure

Дальнейшие шаги

Обзор безопасности хранилища ключей

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-04-30

Поделиться через

Краткое руководство. Создание хранилища ключей Azure и ключа с помощью Terraform

Предпосылки

Реализуйте код Terraform

Инициализируйте Terraform

Создайте план запуска Terraform

Применение плана выполнения Terraform

Проверка результатов

Очистите ресурсы

Устранение неполадок с Terraform в Azure

Дальнейшие шаги

Обратная связь

Дополнительные ресурсы