那些遇到过的问题

Terraform 授予 azure 函数应用程序,具有对 azure keyvault 的 msi 访问权限

use*_*169 4 azure terraform

我正在尝试使用 Terraform 在 Azure 中设置一个场景,其中 Terraform 创建:
- 具有托管服务标识的 Azure 函数应用
- Azure 密钥保管库
- 允许函数应用访问密钥保管库中的机密的密钥保管库访问策略

我的问题是在密钥保管库访问策略的定义中使用为函数应用程序设置的 MSI 的对象 ID(原则 ID),我怀疑我做错了什么(和/或愚蠢)......

我从 Terraform 应用中得到的错误是:

azurerm_key_vault_access_policy.msi-test-to-keyvault-test: "object_id" is an invalid UUUID: uuid: UUID string too short: 1
Run Code Online (Sandbox Code Playgroud)

我怀疑问题可能出在我尝试引用访问策略定义中的 msi 标识创建的服务原则的对象 id 的方式上:

object_id = "${azurerm_function_app.rg-func-app__funcapp.identity.principal_id}"
Run Code Online (Sandbox Code Playgroud)

(azurerm 函数应用程序属性部分的 doco 说身份导出原则 id,但是我不知道引用此属性的正确语法是什么:()

Terraform 模板是:

resource "azurerm_function_app" "rg-func-app__funcapp" {
  name = "${local.deployed-func-app-name}"
  location                  = "${azurerm_resource_group.rg-func-app.location}"
  resource_group_name       = "${azurerm_resource_group.rg-func-app.name}"
  app_service_plan_id       = "${azurerm_app_service_plan.rg-func-app__appsvcpln.id}"
  storage_connection_string = "${azurerm_storage_account.rg-func-app__sa.primary_connection_string}"

  version = "~1"

  app_settings {
    "TEST_KEYVAULT_URL" = "${azurerm_key_vault.test.vault_uri}"
  }

  identity {
    type = "SystemAssigned"
  }

}


resource "azurerm_key_vault" "test" {
  name = "msi-test-vault"
  location = "${azurerm_resource_group.rg-func-app.location}"
  resource_group_name = "${azurerm_resource_group.rg-func-app.name}"

  sku {
    name = "standard"
  }

  tenant_id = "${data.azurerm_client_config.current.tenant_id}"
}

resource "azurerm_key_vault_secret" "test" {
  name      = "secret-sauce"
  value     = "szechuan"
  vault_uri = "${azurerm_key_vault.test.vault_uri}"
}


resource "azurerm_key_vault_access_policy" "msi-test-to-keyvault-test" {
  vault_name           = "${azurerm_key_vault.test.name}"
  resource_group_name  = "${azurerm_key_vault.test.resource_group_name}"

  tenant_id = "${azurerm_key_vault.test.tenant_id}"
  object_id = "${azurerm_function_app.rg-func-app__funcapp.identity.principal_id}"

  key_permissions = [
    "get",
  ]

  secret_permissions = [
    "get",
  ] 
}
Run Code Online (Sandbox Code Playgroud)

任何指点,感激地收到。

干杯,安迪

use*_*169 6

经过更多的探索,一个解决方案似乎正在改变咒语以检索principal_id:

object_id = "${lookup(azurerm_function_app.rg-func-app__funcapp.identity[0],"principal_id")}"
Run Code Online (Sandbox Code Playgroud)

这将导致按预期创建访问策略。

归档时间:

查看次数:

1797 次

最近记录:

5 年,11 月 前
相关归档
在Azure表存储中更新RowKey或PartitionKey 10
如何在文档数据库中上载多个文档(批量) 10
如何在c#中构建通用方法以查询给定Azure表中的分区 5
Terragrunt 从特定分支下载模块 5
terraform 代码用于在 10 天后删除存储桶中的对象 5
local-exec DESTROY 配置程序中的 terraform 和引用 5
我应该为 Azure 应用服务应用程序使用多少具体 RID? 5
为什么我无法在 docker-compose 中使用 azure 文件共享将 mongodb 数据存储在 Azure 容器实例中? 5
Azure逻辑应用程序无法使用转换后的base64编码的pfx创建客户端证书身份验证 5
用于Azure功能的身份验证令牌缓存 4
难疑归档
从数组创建ArrayList 3441
从Git中的分支中删除提交 3035
如何在Python中获取当前时间 2618
Bash中的Echo newline打印文字\n 2171
如何仅从SQL Server DateTime数据类型返回日期 1692
如何从Python字典中删除密钥? 1539
如何递归计算目录中的所有代码行? 1536
在文本框中的Enter键上使用JavaScript触发按钮单击 1250
如何通过对象中的属性对List <T>进行排序 1146
如何按值排序多维数组? 1058