您可以通过Terraform创建并管理应用接入点。本文以创建应用接入点为例进行介绍。
概述
自建应用进行密码运算操作、获取凭据值前,需要通过应用接入点中的应用身份凭证(ClientKey)访问KMS实例。
如果您是通过云产品加密使用KMS实例中密钥,或者通过KMS SDK使用凭据,不需要创建应用接入点。如果需要通过KMS实例SDK调用KMS实例中的密钥或凭据,则需要创建应用接入点。
当前示例代码支持一键运行,您可以直接运行代码。一键运行
前提条件
由于阿里云账号(主账号)具有资源的所有权限,一旦发生泄露将面临重大风险。建议您使用RAM用户,并为该RAM用户创建AccessKey,具体操作方式请参见创建RAM用户和创建AccessKey。
使用以下示例为RAM用户授权,需要为该RAM用户授予以下权限:AliyunKMSFullAccess(管理密钥管理服务)权限。具体操作方式请参见为RAM用户授权。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:*" ], "Resource": [ "*" ], "Condition": {} } ] }准备Terraform运行环境,您可以选择以下任一方式来使用Terraform。
在Explorer中使用Terraform:阿里云提供了Terraform的在线运行环境,您无需安装Terraform,登录后即可在线使用和体验Terraform。适用于零成本、快速、便捷地体验和调试Terraform的场景。
Cloud Shell:阿里云Cloud Shell中预装了Terraform的组件,并已配置好身份凭证,您可直接在Cloud Shell中运行Terraform的命令。适用于低成本、快速、便捷地访问和使用Terraform的场景。
在本地安装和配置Terraform:适用于网络连接较差或需要自定义开发环境的场景。
重要请确保Terraform版本不低于v0.12.28。如需检查现有版本,请运行
terraform --version命令。
使用的资源
alicloud_kms_network_rule:创建网络控制规则。
alicloud_kms_application_access_point:创建应用接入点的资源定义。
alicloud_kms_client_key:创建应用身份凭证的资源定义。
alicloud_kms_policy:创建访问控制策略。
通过Terraform创建应用接入点
本示例将在KMS实例中创建一个应用接入点。
创建一个工作目录,并且在工作目录中创建以下名为
main.tf的配置文件。main.tf是Terraform主文件,定义了将要部署的资源。在此之前,请确保您已创建KMS实例:variable "region" { default = "cn-heyuan" } provider "alicloud" { region = var.region } variable "instance_name" { default = "tf-kms-vpc-172-16" } variable "instance_type" { default = "ecs.n1.tiny" } # 使用数据源来获取可用的可用区信息。资源只能在指定的可用区内创建。 data "alicloud_zones" "default" { available_disk_category = "cloud_efficiency" available_resource_creation = "VSwitch" available_instance_type = var.instance_type } # 创建VPC resource "alicloud_vpc" "vpc" { vpc_name = var.instance_name cidr_block = "192.168.0.0/16" } # 创建一个Vswitch CIDR 块为 192.168.10.0.24 resource "alicloud_vswitch" "vsw" { vpc_id = alicloud_vpc.vpc.id cidr_block = "192.168.10.0/24" zone_id = data.alicloud_zones.default.zones.0.id vswitch_name = "terraform-example-1" } # 创建另一个Vswitch CIDR 块为 192.168.20.0/24 resource "alicloud_vswitch" "vsw1" { vpc_id = alicloud_vpc.vpc.id cidr_block = "192.168.20.0/24" zone_id = data.alicloud_zones.default.zones.0.id vswitch_name = "terraform-example-2" } # 创建KMS软件密钥管理实例,并使用网络参数启动 resource "alicloud_kms_instance" "default" { # 软件密钥管理实例 product_version = "3" vpc_id = alicloud_vpc.vpc.id # 规定 KMS 实例所在的可用区,使用前面获取的可用区 ID zone_ids = [ "cn-heyuan-a", "cn-heyuan-b", ] # 交换机id vswitch_ids = [ alicloud_vswitch.vsw.id,alicloud_vswitch.vsw1.id ] # 计算性能、密钥数量、凭据数量、访问管理数量 vpc_num = "1" key_num = "1000" secret_num = "100" spec = "1000" # 为KMS实例关联其他VPC,可选参数 # 如果VPC与KMS实例的VPC属于不同阿里云账号,您需要先共享交换机。 #bind_vpcs { #vpc_id = "vpc-j6cy0l32yz9ttxfy6****" #vswitch_id = "vsw-j6cv7rd1nz8x13ram****" #region_id = "cn-shanghai" #vpc_owner_id = "119285303511****" #} #bind_vpcs { #vpc_id = "vpc-j6cy0l32yz9ttd7g3****" #vswitch_id = "vsw-3h4yrd1nz8x13ram****" #region_id = "cn-shanghai" #vpc_owner_id = "119285303511****" #} } # 保存KMS实例CA证书到本地文件 resource "local_file" "ca_certificate_chain_pem" { content = alicloud_kms_instance.default.ca_certificate_chain_pem filename = "ca.pem" }创建应用接入点:
# 创建网络控制规则 resource "alicloud_kms_network_rule" "network_rule_example" { # 网络规则的名称 network_rule_name = "sample_network_rule" # 描述 description = "description_test_module" # 允许的源私有IP地址范围 source_private_ip = ["172.16.0.0/12"] } # 创建访问控制策略 resource "alicloud_kms_policy" "policy_example" { # 策略名称 policy_name = "sample_policy" # 描述 description = "description_test_module" # 定义的权限列表,包括加密服务密钥和加密服务密钥的访问权限 permissions = ["RbacPermission/Template/CryptoServiceKeyUser", "RbacPermission/Template/CryptoServiceSecretUser"] # 资源列表,指向所有密钥和凭据 resources = ["key/*", "secret/*"] # KMS实例的ID kms_instance_id = alicloud_kms_instance.default.id # 访问控制规则,以JSON格式提供,引用先前定义的网络规则 access_control_rules = <<EOF { "NetworkRules":[ "alicloud_kms_network_rule.network_rule_example.network_rule_name" ] } EOF } # 创建应用接入点的资源定义 resource "alicloud_kms_application_access_point" "application_access_point_example" { # 应用接入点的名称 application_access_point_name = "sample_aap" # 关联的策略列表,引用之前创建的访问控制策略名称 policies = [alicloud_kms_policy.policy_example.policy_name] # 应用接入点的描述 description = "aap_description" } # 创建应用身份凭证的资源定义 resource "alicloud_kms_client_key" "client_key" { # 指定应用接入点的名称 aap_name = alicloud_kms_application_access_point.application_access_point_example.application_access_point_name # 身份凭证的密码,替换为您的密码 password = "testPassword@" # 身份凭证的有效开始时间 not_before = "2023-09-01T14:11:22Z" not_after = "2032-09-01T14:11:22Z" # 设置保存应用身份凭证的本地文件地址 private_key_data_file = "./client_key.json" }重要应用接入点创建成功后,请您在自己设置的本地文件地址获取应用身份凭证,并妥善保存。
password可通过Terraform的敏感输入参数方式设置。
执行以下命令,初始化
Terraform运行环境。terraform init返回如下信息,表示Terraform初始化成功。
Initializing the backend... Initializing provider plugins... - Reusing previous version of hashicorp/alicloud from the dependency lock file - Using previously-installed hashicorp/alicloud v1.231.0 Terraform has been successfully initialized! You may now begin working with Terraform. Try running "terraform plan" to see any changes that are required for your infrastructure. All Terraform commands should now work. If you ever set or change modules or backend configuration for Terraform, rerun this command to reinitialize your working directory. If you forget, other commands will detect it and remind you to do so if necessary.创建执行计划,并预览变更。
terraform plan执行以下命令,创建应用接入点。
terraform apply在执行过程中,根据提示输入
yes并按下Enter键,等待命令执行完成,若出现以下信息,则表示应用接入点创建成功。Do you want to perform these actions? Terraform will perform the actions described above. Only 'yes' will be accepted to approve. Enter a value: yes ... alicloud_kms_network_rule.network_rule_example: Creating... alicloud_kms_policy.policy_example: Creating... alicloud_kms_network_rule.network_rule_example: Creation complete after 0s [id=sample_network_***] alicloud_kms_policy.policy_example: Creation complete after 0s [id=sample_pol***] alicloud_kms_application_access_point.application_access_point_example: Creating... alicloud_kms_application_access_point.application_access_point_example: Creation complete after 0s [id=sample_***] alicloud_kms_client_key.client_key: Creation complete after 0s [id=KAAP.5093ea57-0b84-4455-a8e9-7679bdc****] ... Apply complete! Resources: 4 added, 0 changed, 0 destroyed.验证结果
执行terraform show命令
您可以使用以下命令查询Terraform已创建的资源详细信息:
terraform show
登录密钥管理服务控制台
登录密钥管理服务控制台,查看已创建的应用接入点。
清理资源
当您不再需要上述通过Terraform创建或管理的资源时,请运行以下命令以释放资源。关于terraform destroy的更多信息,请参见Terraform常用命令。
terraform destroy完整示例
当前示例代码支持一键运行,您可以直接运行代码。一键运行