빠른 시작: Terraform을 사용하여 Azure Attestation 공급자 만들기

  • 아티클

Microsoft Azure Attestation은 TEE(신뢰할 수 있는 실행 환경)를 증명하기 위한 솔루션입니다. 이 빠른 시작에서는 Terraform을 사용하여 Microsoft Azure Attestation 정책을 만드는 프로세스에 중점을 둡니다.

이 문서에서는 다음 방법을 설명합니다.

필수 조건

  • Terraform 설치 및 구성

  • 정책 서명 인증서: 증명 공급자가 서명된 정책의 유효성을 검사하는 데 사용하는 X.509 인증서를 업로드해야 합니다. 이 인증서는 인증 기관에서 서명하거나 자체 서명합니다. 지원되는 파일 확장명은 pem, txtcer을 포함합니다. 이 문서에서는 유효한 X.509 인증서가 이미 있다고 가정합니다.

Terraform 코드 구현

참고 항목

이 문서의 샘플 코드는 Azure Terraform GitHub 리포지토리에 있습니다. Terraform의 현재 및 이전 버전의 테스트 결과가 포함된 로그 파일을 볼 수 있습니다.

Terraform을 사용하여 Azure 리소스를 관리하는 방법을 보여 주는 추가 문서 및 샘플 코드를 참조하세요.

  1. 샘플 Terraform 코드를 테스트할 디렉터리를 만들고, 이를 현재 디렉터리로 만듭니다.

  2. providers.tf라는 파일을 만들고 다음 코드를 삽입합니다.

    terraform {
  required_version = ">=0.12"

  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~>3.0"
    }
    random = {
      source  = "hashicorp/random"
      version = "~>3.0"
    }
    tls = {
      source  = "hashicorp/tls"
      version = "4.0.4"
    }
  }
}

provider "azurerm" {
  features {}
}

  3. main.tf라는 파일을 만들고 다음 코드를 삽입합니다.

    resource "random_pet" "rg_name" {
  prefix = var.resource_group_name_prefix
}

resource "azurerm_resource_group" "rg" {
  location = var.resource_group_location
  name     = random_pet.rg_name.id
}

locals {
  create_signing_cert = try(!fileexists(var.cert_path), true)
}

resource "tls_private_key" "signing_cert" {
  count = local.create_signing_cert ? 1 : 0

  algorithm = "RSA"
  rsa_bits  = 4096
}

resource "tls_self_signed_cert" "attestation" {
  count = local.create_signing_cert ? 1 : 0

  private_key_pem       = tls_private_key.signing_cert[0].private_key_pem
  validity_period_hours = 12
  allowed_uses = [
    "cert_signing",
  ]
}

resource "random_string" "attestation_suffix" {
  length  = 8
  numeric = false
  special = false
  upper   = false
}

resource "azurerm_attestation_provider" "corp_attestation" {
  location                        = azurerm_resource_group.rg.location
  name                            = "${var.attestation_provider_name}${random_string.attestation_suffix.result}"
  resource_group_name             = azurerm_resource_group.rg.name
  policy_signing_certificate_data = try(tls_self_signed_cert.attestation[0].cert_pem, file(var.cert_path))
  #https://github.com/hashicorp/terraform-provider-azurerm/issues/21998#issuecomment-1573312297
  lifecycle {
    ignore_changes = [
      "open_enclave_policy_base64",
      "sev_snp_policy_base64",
      "sgx_enclave_policy_base64",
      "tpm_policy_base64",
    ]
  }
}

  4. variables.tf라는 파일을 만들고 다음 코드를 삽입합니다.

    variable "attestation_provider_name" {
  default = "attestation"
}

variable "cert_path" {
  default = "~/.certs/cert.pem"
}

variable "resource_group_location" {
  default     = "eastus"
  description = "Location of the resource group."
}

variable "resource_group_name_prefix" {
  default     = "rg"
  description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
}

    주요 정보:

    • PEM 파일을 가리키도록 필요에 따라 policy_file 필드를 조정합니다.

  5. outputs.tf라는 파일을 만들고 다음 코드를 삽입합니다.

    output "resource_group_name" {
  value = azurerm_resource_group.rg.name
}

Terraform 초기화

terraform init를 실행하여 Terraform 배포를 초기화합니다. 이 명령은 Azure 리소스를 관리하는 데 필요한 Azure 공급자를 다운로드합니다.

terraform init -upgrade

주요 정보:

  • -upgrade 매개 변수는 필요한 공급자 플러그 인을 구성의 버전 제약 조건을 준수하는 최신 버전으로 업그레이드합니다.

Terraform 실행 계획 만들기

terraform plan을 실행하여 실행 계획을 만듭니다.

terraform plan -out main.tfplan

주요 정보:

  • terraform plan 명령은 실행 계획을 만들지만 실행하지는 않습니다. 대신 구성 파일에 지정된 구성을 만드는 데 필요한 작업을 결정합니다. 이 패턴을 사용하면 실제 리소스를 변경하기 전에 실행 계획이 예상과 일치하는지 확인할 수 있습니다.
  • 선택 사항인 -out 매개 변수를 사용하여 계획의 출력 파일을 지정할 수 있습니다. -out 매개 변수를 사용하면 검토한 계획이 정확하게 적용됩니다.

Terraform 실행 계획 적용

terraform apply를 실행하여 실행 계획을 클라우드 인프라에 적용합니다.

terraform apply main.tfplan

주요 정보:

  • 예시 terraform apply 명령은 이전에 terraform plan -out main.tfplan를 실행했다고 가정합니다.
  • -out 매개 변수에 다른 파일 이름을 지정한 경우 terraform apply에 대한 호출에서 동일한 파일 이름을 사용합니다.
  • -out 매개 변수를 사용하지 않은 경우 매개 변수 없이 terraform apply를 호출합니다.

6. 결과 확인

  1. Azure 리소스 그룹 이름을 가져옵니다.

    resource_group_name=$(terraform output -raw resource_group_name)

  2. az attestation list를 실행하여 지정된 리소스 그룹 이름에 대한 공급자를 나열합니다.

    az attestation list --resource-group $resource_group_name

리소스 정리

Terraform을 통해 리소스를 만들 필요가 더 이상 없으면 다음 단계를 수행합니다.

  1. terraform 플랜을 실행하고 destroy 플래그를 지정합니다.

    terraform plan -destroy -out main.destroy.tfplan

    주요 정보:

    • terraform plan 명령은 실행 계획을 만들지만 실행하지는 않습니다. 대신 구성 파일에 지정된 구성을 만드는 데 필요한 작업을 결정합니다. 이 패턴을 사용하면 실제 리소스를 변경하기 전에 실행 계획이 예상과 일치하는지 확인할 수 있습니다.
    • 선택 사항인 -out 매개 변수를 사용하여 계획의 출력 파일을 지정할 수 있습니다. -out 매개 변수를 사용하면 검토한 계획이 정확하게 적용됩니다.

  2. terraform apply를 실행하여 실행 계획을 적용합니다.

    terraform apply main.destroy.tfplan

Azure의 Terraform 문제 해결

Azure에서 Terraform을 사용할 때 일반적인 문제 해결

다음 단계

Azure Attestation 개요