azure - 如何将 Azure AD 服务主体密码导入 Terraform?
问题描述
我们正在使用 Terraform 来构建我们的云基础架构。以前,我们创建了一些没有 Terraform 的服务主体,这些主体现在正在生产中使用,并且无法更改。现在我们想转移到 Terraform 来创建该服务主体,但是我们无法导入以前的主体,同时保留使用 random_string 创建新主体的结构。
resource "azuread_service_principal_password" "service-images" {
for_each = toset(var.profiles)
service_principal_id = azuread_service_principal.service-images[each.value].id
end_date = "2222-01-01T23:00:00Z"
value = random_string.images_password[each.value].result
}
resource "random_string" "images_password" {
for_each = toset(var.profiles)
length = 32
special = true
}
当我们创建一个新的服务主体(通过向 var.profiles 列表添加一个元素)时,它可以正常工作,但是当它是一个已经使用的服务主体时,我们担心 Terraform 会破坏以前的值并在生产中停止运行。
此外,Terraform 似乎有一个 azuread_service_principal_password 的导入接口:
terraform import azuread_service_principal_password.test 00000000-0000-0000-0000-000000000000/11111111-1111-1111-1111-111111111111
第一部分是 ServicePrincipalObjectId,第二部分是 ServicePrincipalPasswordKeyId,但是我在 Azure 门户上找不到后一个值(它在哪里?)。
你将如何进行?
解决方案
不幸的是,据我所知,服务主体只能有一个密码。因此,您无法保留旧配置文件的密码并为新配置文件生成新密码。
我建议您使用应用程序注册表秘密进行身份验证。与服务主体关联的应用注册中心的秘密也可以用于服务主体,应用注册中心可以有多个秘密。所以你需要创建资源azuread_application_password
而不是资源azuread_service_principal_password
。
这是一个例子:
data "azuread_application" "example" {
name = "My First AzureAD Application"
}
resource "azuread_application_password" "example" {
application_object_id = "${data.azuread_application.example.id}"
value = "VT=uSgbTanZhyz@%nL9Hpd+Tfay_MRV#"
end_date = "2020-01-01T01:02:03Z"
}
推荐阅读
- c++ - 将矩阵与二维数组相乘,错误表达式必须具有指向对象类型
- javascript - 在 SELECT 语句中使用列名来包含列词汇表定义
- python - 使用 psycopg2 和 BeautifulSoup 将图像刮到 postgres BLOB
- python - Tensorflow2.1中关于混合精度的问题
- css - 在 IE11 的表格中使用 flexbox 元素
- gcc - arm-none-eabi-c++ 和 arm-none-eabi-cpp 有什么用?
- javascript - 中间件后路由未执行
- javascript - 如何使用reactjs获取整个数据块?
- c++ - 压入堆栈的值不是我弹出的 C++
- mysql - 我正在尝试根据第二个表中的键返回同一个表中的组合行