您可以通過Terraform建立並管理認證。本文以建立憑據為例進行介紹。
概述
KMS使用指定的金鑰組憑據進行加密保護,因此在建立憑據前,請先建立密鑰。關於憑據的更多資訊,請參見憑據管理概述。
說明
當前範例程式碼支援一鍵運行,您可以直接運行代碼。一鍵運行
前提條件
由於阿里雲帳號(主帳號)具有資源的所有許可權,一旦發生泄露將面臨重大風險。建議您使用RAM使用者,並為該RAM使用者建立AccessKey,具體操作方式請參見建立RAM使用者和建立AccessKey。
使用以下樣本為RAM使用者授權,需要為該RAM使用者授予以下許可權:AliyunKMSFullAccess(管理Key Management Service)和AliyunRAMFullAccess(管理存取控制RAM的許可權)。具體操作方式請參見為RAM使用者授權。
{ "Version": "1", "Statement": [ { "Action": "kms:*", "Resource": "*", "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Condition": { "StringEquals": { "ram:ServiceName": [ "secretsmanager-rds.kms.aliyuncs.com", "keystore.kms.aliyuncs.com" ] } }, "Resource": "*", "Effect": "Allow" } ] }準備Terraform運行環境,您可以選擇以下任一方式來使用Terraform。
在Terraform Explorer中使用Terraform:阿里雲提供了Terraform的線上運行環境,您無需安裝Terraform,登入後即可線上使用和體驗Terraform。適用於零成本、快速、便捷地體驗和調試Terraform的情境。
Cloud Shell:阿里雲Cloud Shell中預裝了Terraform的組件,並已配置好身份憑證,您可直接在Cloud Shell中運行Terraform的命令。適用於低成本、快速、便捷地訪問和使用Terraform的情境。
在本地安裝和配置Terraform:適用於網路連接較差或需要自訂開發環境的情境。
重要
請確保Terraform版本不低於v0.12.28。如需檢查現有版本,請運行terraform --version命令。
使用的資源
alicloud_kms_secret:建立並管理認證。
alicloud_vpc:建立Virtual Private Cloud。
alicloud_vswitch:建立虛擬交換器(vSwitch)為VPC劃分一個或多個子網。
alicloud_kms_instance:購買並啟用KMS軟體密鑰管理執行個體。
alicloud_kms_key:建立並管理應用身份憑證。
alicloud_kms_alias:建立並管理別名。
通過Terraform建立憑據
重要
建議您對secret_data(憑據值)設定sensitive = true以避免將敏感的憑據值在日誌或控制台中列印。更多介紹請參考保護敏感輸入變數(Protect Sensitive Input Variables)。
本樣本將建立一個通用憑據。
建立一個工作目錄,並且在工作目錄中建立以下名為
main.tf的設定檔。在
main.tf中增加以下內容,在此之前,請確保您已建立KMS執行個體和密鑰:重要加密憑據值的密鑰必須為對稱金鑰。
建立KMS執行個體:
variable "region" { default = "cn-heyuan" } provider "alicloud" { region = var.region } variable "instance_name" { default = "tf-kms-vpc-172-16" } # 建立VPC resource "alicloud_vpc" "vpc" { vpc_name = var.instance_name cidr_block = "192.168.0.0/16" } # 建立一個Vswitch CIDR 塊為 192.168.10.0.24 resource "alicloud_vswitch" "vsw" { vpc_id = alicloud_vpc.vpc.id cidr_block = "192.168.10.0/24" zone_id = "cn-heyuan-a" vswitch_name = "terraform-example-1" } # 建立另一個Vswitch CIDR 塊為 192.168.20.0/24 resource "alicloud_vswitch" "vsw1" { vpc_id = alicloud_vpc.vpc.id cidr_block = "192.168.20.0/24" zone_id = "cn-heyuan-b" vswitch_name = "terraform-example-2" } # 建立KMS軟體密鑰管理執行個體,並使用網路參數啟動 resource "alicloud_kms_instance" "default" { # 軟體密鑰管理執行個體 product_version = "3" vpc_id = alicloud_vpc.vpc.id # 規定 KMS 執行個體所在的可用性區域,使用前面擷取的可用性區域 ID zone_ids = [ "cn-heyuan-a", "cn-heyuan-b", ] # 交換器id vswitch_ids = [ alicloud_vswitch.vsw.id,alicloud_vswitch.vsw1.id ] # 計算效能、密鑰數量、憑據數量、訪問管理數量 vpc_num = "1" key_num = "1000" secret_num = "100" spec = "1000" # 為KMS執行個體關聯其他VPC,選擇性參數 # 如果VPC與KMS執行個體的VPC屬於不同阿里雲帳號,您需要先共用交換器。 #bind_vpcs { #vpc_id = "vpc-j6cy0l32yz9ttxfy6****" #vswitch_id = "vsw-j6cv7rd1nz8x13ram****" #region_id = "cn-shanghai" #vpc_owner_id = "119285303511****" #} #bind_vpcs { #vpc_id = "vpc-j6cy0l32yz9ttd7g3****" #vswitch_id = "vsw-3h4yrd1nz8x13ram****" #region_id = "cn-shanghai" #vpc_owner_id = "119285303511****" #} } # 儲存KMS執行個體CA認證到本地檔案 resource "local_file" "ca_certificate_chain_pem" { content = alicloud_kms_instance.default.ca_certificate_chain_pem filename = "ca.pem" }KMS執行個體中建立密鑰:
#密鑰規格為Aliyun_AES_256,密鑰用途是加密解密(ENCRYPT/DECRYPT) resource "alicloud_kms_key" "kms_software_key_encrypt_decrypt" { description = "default_key_encrypt_decrypt description" # 密鑰的使用方式。預設值:ENCRYPT/DECRYPT。有效值:ENCRYPT/DECRYPT: 加密或解密資料。 key_usage = "ENCRYPT/DECRYPT" # 密鑰的規格。預設值:Aliyun_AES_256。 key_spec = "Aliyun_AES_256" # KMS 執行個體的 ID。 dkms_instance_id = alicloud_kms_instance.default.id pending_window_in_days = 7 # 要分配給資源的標籤映射,可選 # tags = { # "Environment" = "Production" # "Name" = "KMS-01" # "SupportTeam" = "PlatformEngineering" # "Contact" = "ali***@test.com" # } } #密鑰別名為alias/kms_software_key_encrypt_decrypt,在整個阿里雲帳號下唯一。 resource "alicloud_kms_alias" "kms_software_key_encrypt_decrypt_alias" { # 別名 alias_name = "alias/kms_software_key_encrypt_decrypt" # 密鑰id key_id = alicloud_kms_key.kms_software_key_encrypt_decrypt.id }在
main.tf中增加以下內容,建立憑據。通用憑據
# 建立通用憑據,憑據名稱為kms_secret_general1,憑據值為secret_data_kms_secret_general1 resource "alicloud_kms_secret" "kms_secret_general" { # 名稱 secret_name = "kms_secret_general1" # 描述 description = "secret_data_kms_secret_general" # 類型 secret_type = "Generic" # 指定是否立即刪除。預設值:false。有效值:true,false。 force_delete_without_recovery = true # KMS 執行個體的 ID。 dkms_instance_id = alicloud_kms_instance.default.id # KMS 密鑰的 ID encryption_key_id = alicloud_kms_key.kms_software_key_encrypt_decrypt.id # 版本號碼 version_id = "v1" # 值的類型。預設值:text。有效值:text,binary。 secret_data_type = "text" # 資料 secret_data = "secret_data_kms_secret_general1" }RAM憑據
# 建立RAM憑據樣本 # 前提條件是您建立需要託管RAM憑據的RAM使用者和AccessKey。 # 共分為2個步驟。 # 步驟1:授予KMS管理RAM使用者的Accesskey的許可權 # 1.1 建立自訂權限原則AliyunKMSManagedRAMCrendentialsRolePolicy resource "alicloud_ram_policy" "AliyunKMSManagedRAMCrendentialsRolePolicy" { policy_name = "AliyunKMSManagedRAMCrendentialsRolePolicy" policy_document = <<EOF { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:ListAccessKeys", "ram:CreateAccessKey", "ram:DeleteAccessKey", "ram:UpdateAccessKey" ], "Resource": "*" } ] } EOF description = "AliyunKMSManagedRAMCrendentialsRolePolicy" force = true } # 1.2 建立RAM角色AliyunKMSManagedRAMCrendentialsRole resource "alicloud_ram_role" "AliyunKMSManagedRAMCrendentialsRole" { name = "AliyunKMSManagedRAMCrendentialsRole" description = "AliyunKMSManagedRAMCrendentialsRole" document = <<EOF { "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "kms.aliyuncs.com" ] } } ], "Version": "1" } EOF force = true } # 1.3 為RAM角色AliyunKMSManagedRAMCrendentialsRole授權AliyunKMSManagedRAMCrendentialsRolePolicy resource "alicloud_ram_role_policy_attachment" "attach" { policy_name = alicloud_ram_policy.AliyunKMSManagedRAMCrendentialsRolePolicy.policy_name policy_type = alicloud_ram_policy.AliyunKMSManagedRAMCrendentialsRolePolicy.type role_name = alicloud_ram_role.AliyunKMSManagedRAMCrendentialsRole.name } # 步驟2:建立RAM憑據 resource "alicloud_kms_secret" "kms_secret_RAMCredentials" { # 憑據名稱 secret_name = "my_secret" # 描述 description = "secret_kms_secret_RAMCredentials" # 憑據的類型 secret_type = "RAMCredentials" # KMS執行個體ID dkms_instance_id = alicloud_kms_instance.default.id # 用於加密憑據值的密鑰ID。 encryption_key_id = alicloud_kms_key.kms_software_key_encrypt_decrypt.id # 是否立即刪除一個憑據。預設值:false。有效值:true,false。 force_delete_without_recovery = true # 指定是否啟用自動輪換。預設值:false。有效值:true,false。 enable_automatic_rotation = true # 自動輪換的間隔。 rotation_interval = "7d" # 擴充配置。替換為您的UserName extended_config = "{\"SecretSubType\":\"RamUserAccessKey\", \"UserName\":\"testuser\"}" # 版本 version_id = "V1" # 憑據值的類型。預設值:文本。有效值:文本,二進位。 secret_data_type ="text" # 資料 secret_data = "{\"AccessKeys\":[{\"AccessKeyId\":\"LTAI****************\",\"AccessKeySecret\":\"yourAccessKeySecret\"}]}" }RDS憑據
以“雙帳號託管”方式為例介紹如何建立RDS憑據。
variable "region" { default = "cn-hangzhou" } provider "alicloud" { region = var.region } variable "zone_id" { default = "cn-hangzhou-b" } variable "instance_type" { default = "pg.n2.2c.2m" } # 建立VPC resource "alicloud_vpc" "main" { vpc_name = "alicloud" cidr_block = "172.16.0.0/16" } # 建立交換器 resource "alicloud_vswitch" "main" { vpc_id = alicloud_vpc.main.id cidr_block = "172.16.192.0/20" zone_id = var.zone_id depends_on = [alicloud_vpc.main] } # 建立RDS PostgreSQL執行個體 resource "alicloud_db_instance" "instance" { engine = "PostgreSQL" engine_version = "13.0" instance_type = var.instance_type instance_storage = "30" instance_charge_type = "Postpaid" vswitch_id = alicloud_vswitch.main.id } # 建立RDS憑據 resource "alicloud_kms_secret" "kms_secret_RDS_MYSQL" { # 憑據名稱 secret_name = "rds_secret/${alicloud_db_instance.id}" # 類型 secret_type = "Rds" # KMS執行個體ID dkms_instance_id = alicloud_kms_instance.default.id # 用於加密憑據值的密鑰ID。 encryption_key_id = alicloud_kms_key.kms_software_key_encrypt_decrypt.id # 指定是否啟用自動輪換。預設值:false。有效值:true,false。 enable_automatic_rotation = true # 自動輪換的間隔。 rotation_interval = "7d" # 指定是否立即刪除。預設值:false。有效值:true,false。 force_delete_without_recovery = true # 配置 extended_config = "{\"SecretSubType\":\"DoubleUsers\", \"DBInstanceId\":\"rm-7xv1450tq4pj4****\" ,\"CustomData\": {}}" # 版本 version_id = "V1" # 憑據值的類型。預設值:文本。有效值:文本,二進位。 secret_data_type = "text" # 資料 secret_data = "{\"Accounts\":[{\"AccountName\":\"rdsuser1\",\"AccountPassword\":\"Admin****\"},{\"AccountName\":\"rdsuser2\",\"AccountPassword\":\"Admin****\"}]}" }
執行以下命令,初始化
Terraform運行環境。terraform initTerraform has created a lock file .terraform.lock.hcl to record the provider selections it made above. Include this file in your version control repository so that Terraform can guarantee to make the same selections by default when you run "terraform init" in the future. Terraform has been successfully initialized! You may now begin working with Terraform. Try running "terraform plan" to see any changes that are required for your infrastructure. All Terraform commands should now work. If you ever set or change modules or backend configuration for Terraform, rerun this command to reinitialize your working directory. If you forget, other commands will detect it and remind you to do so if necessary.建立執行計畫,並預覽變更。
terraform plan執行以下命令,建立通用憑據。
terraform apply在執行過程中,根據提示輸入
yes並按下Enter鍵,等待命令執行完成,若出現以下資訊,則表示通用憑據建立成功。Do you want to perform these actions? Terraform will perform the actions described above. Only 'yes' will be accepted to approve. Enter a value: yes ... alicloud_kms_key.kms_software_key_encrypt_decrypt: Creation complete after 0s [id=key-shh6715c21812y8i7z***] alicloud_kms_alias.kms_software_key_encrypt_decrypt_alias: Creating... alicloud_kms_secret.kms_secret_general: Creating... alicloud_kms_alias.kms_software_key_encrypt_decrypt_alias: Creation complete after 0s [id=alias/kms_secret] alicloud_kms_secret.kms_secret_general: Creation complete after 1s [id=kms_secret_general1] ... Apply complete! Resources: 2 added, 0 changed, 0 destroyed.驗證結果
執行terraform show命令
您可以使用以下命令查詢Terraform已建立的資來源詳細資料:
terraform show
登入Key Management Service控制台
登入Key Management Service控制台,查看已建立的憑據。
清理資源
當您不再需要上述通過Terraform建立或管理的資源時,請運行以下命令以釋放資源。關於terraform destroy的更多資訊,請參見常用命令。
terraform destroy完整樣本
說明
當前範例程式碼支援一鍵運行,您可以直接運行代碼。一鍵運行