Azure KeyVault Terraform 循環
[英]Azure KeyVault Terraform cycle
問題描述
我正在嘗試為集成 Azure 函數、KeyVault 和 CosmosDB 編寫 Terraform 描述符。
一方面,我需要 Azure 函數身份 id 來創建 KeyVault 訪問策略。 另一方面,我需要將 KeyVault 的 CosmosDB 密鑰引用放入 Azure 功能配置中。 這會導致循環依賴 Azure Functions <-> KeyVault。 有沒有辦法以某種方式解決它? 如果我要手動執行此操作,我將創建 Azure Functions App、創建 KeyVault、在 KeyVault 中添加訪問策略並使用 KeyVault 密鑰引用更新 Azure Functions。 但據我所知,Terraform 不允許以后創建和更新資源。
一些代碼片段:
函數.tf
variable "db_key" {
type = string
}
resource "azurerm_linux_function_app" "my_functions" {
...
app_settings = {
"DB_KEY": var.db_key
}
}
output "functions_app_id" {
value = azurerm_linux_function_app.my_functions.identity[0].principal_id
}
密鑰庫.tf
variable "functions_app_id" {
type = string
}
resource "azurerm_key_vault" "my_keyvault" {
access_policy {
tenant_id = ...
object_id = var.functions_app_id
secret_permissions {
"Get"
}
}
}
resource "azurerm_key_vault_secret" "db_key" {
...
}
output "db_key" {
value = "@Microsoft.KeyVault(SecretUri=${azurerm_key_vault_secret.db_key.id})"
}
主文件
module "functions" {
...
db_key = module.key-vault.db_key
}
module "key-vault" {
...
functions_app_id = module.functions.functions_app_id
}
2 個解決方案
解決方案1
0 2022-07-27 00:36:41
你可以:
- 使用密鑰創建 Key Vault
- 使用密鑰參考創建 function
- 將訪問策略或 RBAC 添加到 function 的保管庫
解決方案2
0 2022-07-27 12:50:05
好的,我已經想出了如何做到這一點。 我應該在 functions.tf 中使用“azurerm_key_vault_access_policy”資源,而不是在 key_vault 腳本中使用 access_policy 塊。 現在看起來像這樣
函數.tf
variable "db_key" {
type = string
}
resource "azurerm_linux_function_app" "my_functions" {
...
app_settings = {
"DB_KEY": var.db_key
}
identity {
type = "SystemAssigned"
}
}
resource "azurerm_key_vault_access_policy" "functions_app_access_policy" {
key_vault_id = ... //passed as output from key_vault.tf
tenant_id = ...
object_id = azurerm_linux_function_app.my_functions.identity[0].principal_id
secret_permissions = ["Get"]
}
key_vault.tf 文件中不再有 access_policy 塊
Terraform天藍色keyVault SetSecret-禁止訪問被拒絕
[英]Terraform azure keyVault SetSecret - Forbidden Access denied
Terraform Azure KeyVault 密鑰版本 - terraform v2.63.0
[英]Terraform Azure KeyVault Key version - terraform v2.63.0
Terraform授予azure功能應用程序,msi訪問azure keyvault
[英]Terraform grant azure function app with msi access to azure keyvault
如何使用 terraform 將 azure keyvault 證書保存到本地文件夾?
[英]How to save the azure keyvault certificate to a local folder with terraform?
Terraform Azure AKS - 如何安裝 azure-keyvault-secrets-provider 附加組件
[英]Terraform Azure AKS - How to install azure-keyvault-secrets-provider add-on
Terraform 和 Azure 策略:使用“字段”的錯誤:“Microsoft.KeyVault.Data/vaults/certificates/properties.validityInMonths”
[英]Terraform and Azure Policy: Errors using “field”: “Microsoft.KeyVault.Data/vaults/certificates/properties.validityInMonths”
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Terraform azure - 密鑰庫密鑰生成 - 訪問被拒絕
Terraform天藍色keyVault SetSecret-禁止訪問被拒絕
使用 Terraform 更新 Azure KeyVault 的防火牆規則
Terraform:將敏感數據添加到 Azure KeyVault
azure 上的 terraform - 創建具有私有連接的密鑰庫
Terraform Azure KeyVault 密鑰版本 - terraform v2.63.0
Terraform授予azure功能應用程序,msi訪問azure keyvault
如何使用 terraform 將 azure keyvault 證書保存到本地文件夾?
Terraform Azure AKS - 如何安裝 azure-keyvault-secrets-provider 附加組件
Terraform 和 Azure 策略:使用“字段”的錯誤:“Microsoft.KeyVault.Data/vaults/certificates/properties.validityInMonths”
相關標簽