Guia de início rápido: criar um provedor de atestado do Azure usando o Terraform

O Atestado do Microsoft Azure é uma solução para atestar Ambientes de Execução Confiáveis (TEEs). Este guia de início rápido se concentra no processo de criação de uma política de Atestado do Microsoft Azure usando o Terraform.

Neste artigo, vai aprender a:

Pré-requisitos

• Instalar e configurar o Terraform

• Certificado de assinatura de política: você precisa carregar um certificado X.509, que é usado pelo provedor de atestado para validar políticas assinadas. Este certificado é assinado por uma autoridade de certificação ou autoassinado. As extensões de ficheiro suportadas incluem pem, txte cer. Este artigo pressupõe que você já tenha um certificado X.509 válido.

Implementar o código Terraform

1. Crie um diretório no qual testar o código Terraform de exemplo e torná-lo o diretório atual.

2. Crie um arquivo chamado providers.tf e insira o seguinte código:

   terraform {
     required_version = ">=0.12"
   
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
       tls = {
         source  = "hashicorp/tls"
         version = "4.0.4"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

3. Crie um arquivo chamado main.tf e insira o seguinte código:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "azurerm_resource_group" "rg" {
     location = var.resource_group_location
     name     = random_pet.rg_name.id
   }
   
   locals {
     create_signing_cert = try(!fileexists(var.cert_path), true)
   }
   
   resource "tls_private_key" "signing_cert" {
     count = local.create_signing_cert ? 1 : 0
   
     algorithm = "RSA"
     rsa_bits  = 4096
   }
   
   resource "tls_self_signed_cert" "attestation" {
     count = local.create_signing_cert ? 1 : 0
   
     private_key_pem       = tls_private_key.signing_cert[0].private_key_pem
     validity_period_hours = 12
     allowed_uses = [
       "cert_signing",
     ]
   }
   
   resource "random_string" "attestation_suffix" {
     length  = 8
     numeric = false
     special = false
     upper   = false
   }
   
   resource "azurerm_attestation_provider" "corp_attestation" {
     location                        = azurerm_resource_group.rg.location
     name                            = "${var.attestation_provider_name}${random_string.attestation_suffix.result}"
     resource_group_name             = azurerm_resource_group.rg.name
     policy_signing_certificate_data = try(tls_self_signed_cert.attestation[0].cert_pem, file(var.cert_path))
     #https://github.com/hashicorp/terraform-provider-azurerm/issues/21998#issuecomment-1573312297
     lifecycle {
       ignore_changes = [
         "open_enclave_policy_base64",
         "sev_snp_policy_base64",
         "sgx_enclave_policy_base64",
         "tpm_policy_base64",
       ]
     }
   }
   

4. Crie um arquivo chamado variables.tf e insira o seguinte código:

   variable "attestation_provider_name" {
     default = "attestation"
   }
   
   variable "cert_path" {
     default = "~/.certs/cert.pem"
   }
   
   variable "resource_group_location" {
     default     = "eastus"
     description = "Location of the resource group."
   }
   
   variable "resource_group_name_prefix" {
     default     = "rg"
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
   }
   

   Pontos principais:

   • Ajuste o campo conforme necessário para apontar para o policy_file seu arquivo PEM.

5. Crie um arquivo chamado outputs.tf e insira o seguinte código:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   

Inicializar o Terraform

Execute terraform init para inicializar a implantação do Terraform. Este comando baixa o provedor do Azure necessário para gerenciar seus recursos do Azure.

terraform init -upgrade

Pontos principais:

• O -upgrade parâmetro atualiza os plug-ins de provedor necessários para a versão mais recente que está em conformidade com as restrições de versão da configuração.

Criar um plano de execução do Terraform

Execute o plano de terraforma para criar um plano de execução.

terraform plan -out main.tfplan

Pontos principais:

• O terraform plan comando cria um plano de execução, mas não o executa. Em vez disso, ele determina quais ações são necessárias para criar a configuração especificada em seus arquivos de configuração. Esse padrão permite que você verifique se o plano de execução corresponde às suas expectativas antes de fazer quaisquer alterações nos recursos reais.
• O parâmetro opcional -out permite especificar um arquivo de saída para o plano. O uso do -out parâmetro garante que o plano revisado seja exatamente o que é aplicado.

Aplicar um plano de execução Terraform

Execute terraform apply para aplicar o plano de execução à sua infraestrutura de nuvem.

terraform apply main.tfplan

Pontos principais:

• O comando de exemplo terraform apply pressupõe que você executou terraform plan -out main.tfplananteriormente o .
• Se você especificou um nome de arquivo diferente para o -out parâmetro, use esse mesmo nome de arquivo na chamada para terraform apply.
• Se você não usou o -out parâmetro, ligue terraform apply sem nenhum parâmetro.

6. Verificar os resultados