クイックスタート: AzAPI Terraform プロバイダーを使用して最初の Azure resource_action をデプロイする

Terraform を使用すると、クラウド インフラストラクチャの定義、プレビュー、およびデプロイを行うことができます。 Terraform を使用する際は、HCL 構文を使って構成ファイルを作成します。 HCL 構文では、Azure などのクラウド プロバイダーと、クラウド インフラストラクチャを構成する要素を指定できます。 構成ファイルを作成したら、"実行プラン" を作成します。これにより、インフラストラクチャの変更をデプロイ前にプレビューすることができます。 変更を確認したら、実行プランを適用してインフラストラクチャをデプロイします。

この記事では、 AzAPI Terraform プロバイダーを使用して リソースに対して命令型アクションを実行する方法について説明します。 azapi_resource_actionは、Azure Key Vault キーの一覧に使用されます。

• AzureRM プロバイダーと AzAPI プロバイダーを定義して構成する
• Key Vault のランダムな名前を生成する
• AzureRM プロバイダーを使用して Azure Key Vault と Key Vault キーを作成する
• AzAPI プロバイダーを使用して Azure Key Vault キーを一覧表示する

前提条件

• Azure サブスクリプション:Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。

• Terraform の構成: まだ行っていない場合は、次のいずれかのオプションを使用して Terraform を構成します。

  • Bash を使用して Azure Cloud Shell で Terraform を構成する
  • PowerShell を使用して Azure Cloud Shell で Terraform を構成する
  • Bash を使用して Windows で Terraform を構成する
  • PowerShell を使用して Windows で Terraform を構成する

Terraform コードを実装する

1. サンプルの Terraform コードをテストするディレクトリを作成し、それを現在のディレクトリにします。

2. providers.tf という名前のファイルを作成し、次のコードを挿入します。

   terraform {
     required_providers {
       azapi = {
         source = "Azure/azapi"
       }
     }
   }
   
   provider "azapi" {}
   
   provider "azurerm" {
     features {}
   }
   

3. main.tf という名前のファイルを作成し、次のコードを挿入します。

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "azurerm_resource_group" "rg" {
     name     = random_pet.rg_name.id
     location = var.resource_group_location
   }
   
   data "azurerm_client_config" "current" {}
   
   resource "random_string" "azurerm_key_vault_name" {
     length  = 13
     lower   = true
     numeric = false
     special = false
     upper   = false
   }
   
   locals {
     current_user_id = coalesce(var.msi_id, data.azurerm_client_config.current.object_id)
   }
   
   resource "azurerm_key_vault" "vault" {
     name                       = coalesce(var.vault_name, "vault-${random_string.azurerm_key_vault_name.result}")
     location                   = azurerm_resource_group.rg.location
     resource_group_name        = azurerm_resource_group.rg.name
     tenant_id                  = data.azurerm_client_config.current.tenant_id
     sku_name                   = var.sku_name
     soft_delete_retention_days = 7
   
     access_policy {
       tenant_id = data.azurerm_client_config.current.tenant_id
       object_id = local.current_user_id
   
       key_permissions    = var.key_permissions
       secret_permissions = var.secret_permissions
     }
   }
   
   resource "random_string" "azurerm_key_vault_key_name" {
     length  = 13
     lower   = true
     numeric = false
     special = false
     upper   = false
   }
   
   resource "azurerm_key_vault_key" "key" {
     name = coalesce(var.key_name, "key-${random_string.azurerm_key_vault_key_name.result}")
   
     key_vault_id = azurerm_key_vault.vault.id
     key_type     = var.key_type
     key_size     = var.key_size
     key_opts     = var.key_ops
   
     rotation_policy {
       automatic {
         time_before_expiry = "P30D"
       }
   
       expire_after         = "P90D"
       notify_before_expiry = "P29D"
     }
   }
   

4. variables.tf という名前のファイルを作成し、次のコードを挿入します。

   variable "resource_group_location" {
     type        = string
     description = "Location for all resources."
     default     = "eastus"
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
     default     = "rg"
   }
   
   variable "vault_name" {
     type        = string
     description = "The name of the key vault to be created. The value will be randomly generated if blank."
     default     = ""
   }
   
   variable "key_name" {
     type        = string
     description = "The name of the key to be created. The value will be randomly generated if blank."
     default     = ""
   }
   
   variable "sku_name" {
     type        = string
     description = "The SKU of the vault to be created."
     default     = "standard"
     validation {
       condition     = contains(["standard", "premium"], var.sku_name)
       error_message = "The sku_name must be one of the following: standard, premium."
     }
   }
   
   variable "key_permissions" {
     type        = list(string)
     description = "List of key permissions."
     default     = ["List", "Create", "Delete", "Get", "Purge", "Recover", "Update", "GetRotationPolicy", "SetRotationPolicy"]
   }
   
   variable "secret_permissions" {
     type        = list(string)
     description = "List of secret permissions."
     default     = ["Set"]
   }
   
   variable "key_type" {
     description = "The JsonWebKeyType of the key to be created."
     default     = "RSA"
     type        = string
     validation {
       condition     = contains(["EC", "EC-HSM", "RSA", "RSA-HSM"], var.key_type)
       error_message = "The key_type must be one of the following: EC, EC-HSM, RSA, RSA-HSM."
     }
   }
   
   variable "key_ops" {
     type        = list(string)
     description = "The permitted JSON web key operations of the key to be created."
     default     = ["decrypt", "encrypt", "sign", "unwrapKey", "verify", "wrapKey"]
   }
   
   variable "key_size" {
     type        = number
     description = "The size in bits of the key to be created."
     default     = 2048
   }
   
   variable "msi_id" {
     type        = string
     description = "The Managed Service Identity ID. If this value isn't null (the default), 'data.azurerm_client_config.current.object_id' will be set to this value."
     default     = null
   }
   

5. outputs.tf という名前のファイルを作成し、次のコードを挿入します。

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   
   output "azurerm_key_vault_name" {
     value = azurerm_key_vault.vault.name
   }
   
   output "azurerm_key_vault_id" {
     value = azurerm_key_vault.vault.id
   }
   

6. main-generic.tf という名前のファイルを作成し、次のコードを挿入します。

   data "azapi_resource_action" "example" {
     type                   = "Microsoft.KeyVault/vaults@2023-07-01"
     resource_id            = azurerm_key_vault.vault.id
     action                 = "listKeys"
   }
   

Terraform を初期化する

terraform init を実行して、Terraform のデプロイを初期化します。 このコマンドによって、Azure リソースを管理するために必要な Azure プロバイダーがダウンロードされます。

terraform init -upgrade

重要なポイント:

• -upgrade パラメーターは、必要なプロバイダー プラグインを、構成のバージョン制約に準拠する最新バージョンにアップグレードします。

Terraform 実行プランを作成する

terraform plan を実行して、実行プランを作成します。

terraform plan -out main.tfplan

重要なポイント:

• terraform plan コマンドは、実行プランを作成しますが、実行はしません。 代わりに、構成ファイルに指定された構成を作成するために必要なアクションを決定します。 このパターンを使用すると、実際のリソースに変更を加える前に、実行プランが自分の想定と一致しているかどうかを確認できます。
• 省略可能な -out パラメーターを使用すると、プランの出力ファイルを指定できます。 -out パラメーターを使用すると、レビューしたプランが適用内容とまったく同じであることが確実になります。

Terraform 実行プランを適用する

terraform apply を実行して、クラウド インフラストラクチャに実行プランを適用します。

terraform apply main.tfplan

重要なポイント:

• terraform apply コマンドの例は、以前に terraform plan -out main.tfplan が実行されたことを前提としています。
• -out パラメーターに別のファイル名を指定した場合は、terraform apply の呼び出しで同じファイル名を使用します。
• -out パラメーターを使用しなかった場合は、パラメーターを指定せずに terraform apply を呼び出します。

結果を確認する

重要なポイント:

• キーの一覧が terraform apply 出力に表示されます。

---

リソースをクリーンアップする

Terraform を使用して作成したリソースが不要になった場合は、次の手順を実行します。

1. terraform plan を実行して、destroy フラグを指定します。

   terraform plan -destroy -out main.destroy.tfplan
   

   重要なポイント:

   • terraform plan コマンドは、実行プランを作成しますが、実行はしません。 代わりに、構成ファイルに指定された構成を作成するために必要なアクションを決定します。 このパターンを使用すると、実際のリソースに変更を加える前に、実行プランが自分の想定と一致しているかどうかを確認できます。
   • 省略可能な -out パラメーターを使用すると、プランの出力ファイルを指定できます。 -out パラメーターを使用すると、レビューしたプランが適用内容とまったく同じであることが確実になります。

2. terraform apply を実行して、実行プランを適用します。

   terraform apply main.destroy.tfplan
   

Azure での Terraform のトラブルシューティング

Azure で Terraform を使用する場合の一般的な問題のトラブルシューティング

次のステップ

AzAPI プロバイダーの使用の詳細