Краткое руководство. Создание поставщика Аттестация Azure с помощью Terraform

Аттестация Microsoft Azure — это решение для аттестации доверенных сред выполнения (TEE). В этом кратком руководстве рассматривается процесс создания политики Microsoft Аттестация Azure с помощью Terraform.

Вы узнаете, как выполнять следующие задачи:

• Создайте случайное значение для имени группы ресурсов Azure с помощью random_pet.
• Создайте группу ресурсов Azure с помощью azurerm_resource_group.
• Создайте поставщика Аттестация Azure с помощью azurerm_attestation_provider.

Необходимые компоненты

• Установка и настройка Terraform

• Сертификат подписи политики: необходимо отправить сертификат X.509, который используется поставщиком аттестации для проверки подписанных политик. Этот сертификат подписан центром сертификации или самозаверяемым. Поддерживаемые расширения файлов включают pem, txtи cer. В этой статье предполагается, что у вас уже есть действительный сертификат X.509.

Реализация кода Terraform

Примечание.

Пример кода для этой статьи находится в репозитории Azure Terraform GitHub. Вы можете просмотреть файл журнала, содержащий результаты теста из текущих и предыдущих версий Terraform.

См. другие статьи и примеры кода, в которых показано, как использовать Terraform для управления ресурсами Azure.

1. Создайте каталог для тестирования примера кода Terraform и сделайте его текущим каталогом.

2. Создайте файл с именем providers.tf и вставьте следующий код:

   terraform {
     required_version = ">=0.12"
   
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
       tls = {
         source  = "hashicorp/tls"
         version = "4.0.4"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

3. Создайте файл с именем main.tf и вставьте следующий код:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "azurerm_resource_group" "rg" {
     location = var.resource_group_location
     name     = random_pet.rg_name.id
   }
   
   locals {
     create_signing_cert = try(!fileexists(var.cert_path), true)
   }
   
   resource "tls_private_key" "signing_cert" {
     count = local.create_signing_cert ? 1 : 0
   
     algorithm = "RSA"
     rsa_bits  = 4096
   }
   
   resource "tls_self_signed_cert" "attestation" {
     count = local.create_signing_cert ? 1 : 0
   
     private_key_pem       = tls_private_key.signing_cert[0].private_key_pem
     validity_period_hours = 12
     allowed_uses = [
       "cert_signing",
     ]
   }
   
   resource "random_string" "attestation_suffix" {
     length  = 8
     numeric = false
     special = false
     upper   = false
   }
   
   resource "azurerm_attestation_provider" "corp_attestation" {
     location                        = azurerm_resource_group.rg.location
     name                            = "${var.attestation_provider_name}${random_string.attestation_suffix.result}"
     resource_group_name             = azurerm_resource_group.rg.name
     policy_signing_certificate_data = try(tls_self_signed_cert.attestation[0].cert_pem, file(var.cert_path))
     #https://github.com/hashicorp/terraform-provider-azurerm/issues/21998#issuecomment-1573312297
     lifecycle {
       ignore_changes = [
         "open_enclave_policy_base64",
         "sev_snp_policy_base64",
         "sgx_enclave_policy_base64",
         "tpm_policy_base64",
       ]
     }
   }
   

4. Создайте файл с именем variables.tf и вставьте следующий код:

   variable "attestation_provider_name" {
     default = "attestation"
   }
   
   variable "cert_path" {
     default = "~/.certs/cert.pem"
   }
   
   variable "resource_group_location" {
     default     = "eastus"
     description = "Location of the resource group."
   }
   
   variable "resource_group_name_prefix" {
     default     = "rg"
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
   }
   

   Основные моменты:

   • При необходимости измените поле policy_file, чтобы оно указывало на PEM-файл.

5. Создайте файл с именем outputs.tf и вставьте следующий код:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   

Инициализация Terraform

Запустите terraform init, чтобы инициализировать развертывание Terraform. Эта команда скачивает поставщик Azure, необходимый для управления ресурсами Azure.

terraform init -upgrade

Основные моменты:

• Параметр -upgrade обновляет необходимые подключаемые модули поставщика до последней версии, которая соответствует ограничениям версии конфигурации.

Создание плана выполнения Terraform

Чтобы создать план выполнения, выполните terraform plan.

terraform plan -out main.tfplan

Основные моменты:

• Команда terraform plan создает план выполнения, но не выполняет его. Вместо этого она определяет, какие действия необходимы для создания конфигурации, заданной в файлах конфигурации. Этот шаблон позволяет проверить, соответствует ли план выполнения вашим ожиданиям, прежде чем вы начнете вносить изменения в фактические ресурсы.
• Необязательный параметр -out позволяет указать выходной файл для плана. Использование параметра -out гарантирует, что проверяемый план полностью соответствует применяемому.

Применение плана выполнения Terraform

Выполните terraform apply, чтобы применить план выполнения к вашей облачной инфраструктуре.

terraform apply main.tfplan

Основные моменты:

• В примере terraform apply команды предполагается, что вы ранее выполнили.terraform plan -out main.tfplan
• Если для параметра -out указано другое имя файла, используйте то же имя в вызове к terraform apply.
• Если вы не использовали параметр -out, вызовите terraform apply без параметров.

6. Проверка результатов

Azure CLI

1. Получите имя группы ресурсов Azure.

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. Запустите az attestation list , чтобы вывести список поставщиков для указанного имени группы ресурсов.

   az attestation list --resource-group $resource_group_name
   

Очистка ресурсов

Если вам больше не нужны ресурсы, созданные через Terraform, выполните следующие действия:

1. Выполните команду terraform plan и укажите флаг destroy.

   terraform plan -destroy -out main.destroy.tfplan
   

   Основные моменты:

   • Команда terraform plan создает план выполнения, но не выполняет его. Вместо этого она определяет, какие действия необходимы для создания конфигурации, заданной в файлах конфигурации. Этот шаблон позволяет проверить, соответствует ли план выполнения вашим ожиданиям, прежде чем вы начнете вносить изменения в фактические ресурсы.
   • Необязательный параметр -out позволяет указать выходной файл для плана. Использование параметра -out гарантирует, что проверяемый план полностью соответствует применяемому.

2. Выполните команду terraform apply, чтобы применить план выполнения.

   terraform apply main.destroy.tfplan
   

Устранение неполадок с Terraform в Azure

Устранение распространенных проблем при использовании Terraform в Azure

Следующие шаги

Обзор Аттестация Azure.