在 Azure manually 中生成服务主体时,作为操作的结果,我提供了一个密码。
但如果我使用 Terraform 创建服务主体,则情况并非如此,密码不在此模块的输出中:
+ azuread_service_principal.k8s_principal
id: <computed>
application_id: "${azuread_application.app.application_id}"
display_name: <computed>
有什么我错过的吗?为什么 Terraform 的输出行为与 CLI 不同?
【问题讨论】:
标签: terraform-provider-azure service-principal
password 是azuread_service_principal_password 块的输入。因此,您可以生成一个随机密码并自行导出。完整的 Terraform 代码是这样的:
resource "azuread_application" "app" {
name = "${local.application_name}"
}
# Create Service Principal
resource "azuread_service_principal" "app" {
application_id = "${azuread_application.app.application_id}"
}
resource "random_string" "password" {
length = 32
special = true
}
# Create Service Principal password
resource "azuread_service_principal_password" "app" {
end_date = "2299-12-30T23:00:00Z" # Forever
service_principal_id = "${azuread_service_principal.app.id}"
value = "${random_string.password.result}"
}
output "sp_password" {
value = "${azuread_service_principal_password.app.value}"
sensitive = true
}
【讨论】:
在 terraform 文档中,azuread_service_principal 块只定义了 Argument application_id 和 Attributes id、display_name,所以你只能看到这些资源。此外,azuread_service_principal_password 块允许您导出服务主体密码的密钥 ID。你还是看不到真正的密码。
在 Azure CLI az ad sp create-for-rbac 中有一个可选参数 --Password。这样你就可以看到密码输出了。
【讨论】:
azuread_service_principal_password 信息 +1。