【发布时间】:2021-06-03 16:05:37
【问题描述】:
在过去一周左右的时间里,我一直在学习使用 Terraform 来管理 Azure 中的资源。
很棒的工具。
我发现使用 AZ 用户帐户和服务主体之间存在区别。
目标是使用指定的服务主体在 Azure 中创建资源,并引用存储在 AZ 密钥保管库中的机密。远离本地存储的秘密(文件、环境变量等)。
只要我的 azurerm 提供程序包含 subid、clientid、clientsecret 和tenantid,我就可以使用经过身份验证的服务主体成功创建资源,效果很好。
当我将服务主体机密作为 var sp_secret 存储在 variables.tf 中(甚至作为 env var)时的工作示例:
provider "azurerm" {
version = "=2.48.0"
features { }
subscription_id = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
client_id = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
client_secret = "${var.sp_secret}"
tenant_id = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}
我已经能够成功地从 keyvault 中提取服务主体机密并“输出”它,但我想做的是从 kv 中提取该机密并使用,例如作为提供程序 client_secret 值中的 var。前任。 'client_secret = "${link to secret 坐在 kv}"'
这是我从 keyvault 中检索 SP 机密并将其输出的操作:
data "azurerm_client_config" "current" {}
variable "keyvault_name" {
default = "blah-kv"
}
variable "kvrg_name" {
default = "blah-kv-rg"
}
data "azurerm_key_vault" "keyvault" {
name = "${var.keyvault_name}"
resource_group_name = "${var.kvrg_name}"
}
data "azurerm_key_vault_secret" "kv-sp" {
name = "blah-tf-sp-secret"
key_vault_id = "${data.azurerm_key_vault.keyvault.id}"
}
output "secret_value" {
value = "${data.azurerm_key_vault_secret.kv-sp.value}"
}
如前所述,上面的 sn-p 成功检索并输出了 secret。我只想在 azurerm 提供程序参考中将该机密设置为 client_secret 值,而不是输出机密。
我尝试了许多 client_secret = "${data.azurerm_key_vault_secret.kv-sp.value}" 的变体,但出现以下错误:
Error: Cycle: data.azurerm_key_vault.keyvault, provider["registry.terraform.io/hashicorp/azurerm"], data.azurerm_key_vault_secret.kv-sp
我将上述错误解释为循环引用。我已经尝试了一些我在寻找答案时发现的东西,但没有骰子。
感谢任何指导。
谢谢!
【问题讨论】:
-
关于这个问题的任何更新?它解决了你的问题吗?如果它适合你,请接受它。
标签: azure terraform azure-keyvault service-principal