Démarrage rapide : créer un coffre de clés Azure et une clé à l’aide de Terraform

Azure Key Vault est un service cloud qui fournit un magasin sécurisé pour les secrets, tels que les clés, les mots de passe et les certificats. Cet article se concentre sur le processus de déploiement d’un fichier Terraform pour créer un coffre de clés et une clé.

Terraform active la définition, la préversion et le déploiement de l’infrastructure cloud. À l’aide de Terraform, vous créez des fichiers de configuration à l’aide de la syntaxe HCL. La syntaxe HCL vous permet de spécifier le fournisseur de cloud , tel qu’Azure, et les éléments qui composent votre infrastructure cloud. Après avoir créé vos fichiers de configuration, vous créez un plan d’exécution qui vous permet d’afficher un aperçu des modifications de votre infrastructure avant leur déploiement. Une fois que vous avez vérifié les modifications, vous appliquez le plan d’exécution pour déployer l’infrastructure.

Dans cet article, vous allez apprendre à :

Créez une valeur aléatoire pour le nom du groupe de ressources Azure à l’aide de random_pet
Créer un groupe de ressources Azure à l’aide de azurerm_resource_group
Créer une valeur aléatoire à l’aide de random_string
Créer un coffre de clés Azure à l’aide de azurerm_key_vault
Créer une clé de coffre de clés Azure à l’aide d'azurerm_key_vault_key

Conditions préalables

Installer et configurer Terraform

Implémenter le code Terraform

Remarque

L’exemple de code de cet article se trouve dans le dépôt GitHub Azure Terraform . Vous pouvez afficher le fichier journal contenant les résultats des tests des versions actuelles et précédentes de Terraform.

Consultez d’autres articles et exemples de code montrant comment utiliser Terraform pour gérer les ressources Azure.

Créez un répertoire pour tester et exécuter l’exemple de code Terraform. Définissez-le comme répertoire actif.

Créez un fichier nommé providers.tf et insérez le code suivant :

terraform {
  required_version = ">=1.0"
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~>3.0"
    }
    random = {
      source  = "hashicorp/random"
      version = "~>3.0"
    }
  }
}
provider "azurerm" {
  features {}
}

Créez un fichier nommé main.tf et insérez le code suivant :

resource "random_pet" "rg_name" {
  prefix = var.resource_group_name_prefix
}

resource "azurerm_resource_group" "rg" {
  name     = random_pet.rg_name.id
  location = var.resource_group_location
}

data "azurerm_client_config" "current" {}

resource "random_string" "azurerm_key_vault_name" {
  length  = 13
  lower   = true
  numeric = false
  special = false
  upper   = false
}

locals {
  current_user_id = coalesce(var.msi_id, data.azurerm_client_config.current.object_id)
}

resource "azurerm_key_vault" "vault" {
  name                       = coalesce(var.vault_name, "vault-${random_string.azurerm_key_vault_name.result}")
  location                   = azurerm_resource_group.rg.location
  resource_group_name        = azurerm_resource_group.rg.name
  tenant_id                  = data.azurerm_client_config.current.tenant_id
  sku_name                   = var.sku_name
  soft_delete_retention_days = 7

  access_policy {
    tenant_id = data.azurerm_client_config.current.tenant_id
    object_id = local.current_user_id

    key_permissions    = var.key_permissions
    secret_permissions = var.secret_permissions
  }
}

resource "random_string" "azurerm_key_vault_key_name" {
  length  = 13
  lower   = true
  numeric = false
  special = false
  upper   = false
}

resource "azurerm_key_vault_key" "key" {
  name = coalesce(var.key_name, "key-${random_string.azurerm_key_vault_key_name.result}")

  key_vault_id = azurerm_key_vault.vault.id
  key_type     = var.key_type
  key_size     = var.key_size
  key_opts     = var.key_ops

  rotation_policy {
    automatic {
      time_before_expiry = "P30D"
    }

    expire_after         = "P90D"
    notify_before_expiry = "P29D"
  }
}

Créez un fichier nommé variables.tf et insérez le code suivant :

variable "resource_group_location" {
  type        = string
  description = "Location for all resources."
  default     = "eastus"
}

variable "resource_group_name_prefix" {
  type        = string
  description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
  default     = "rg"
}

variable "vault_name" {
  type        = string
  description = "The name of the key vault to be created. The value will be randomly generated if blank."
  default     = ""
}

variable "key_name" {
  type        = string
  description = "The name of the key to be created. The value will be randomly generated if blank."
  default     = ""
}

variable "sku_name" {
  type        = string
  description = "The SKU of the vault to be created."
  default     = "standard"
  validation {
    condition     = contains(["standard", "premium"], var.sku_name)
    error_message = "The sku_name must be one of the following: standard, premium."
  }
}

variable "key_permissions" {
  type        = list(string)
  description = "List of key permissions."
  default     = ["List", "Create", "Delete", "Get", "Purge", "Recover", "Update", "GetRotationPolicy", "SetRotationPolicy"]
}

variable "secret_permissions" {
  type        = list(string)
  description = "List of secret permissions."
  default     = ["Set"]
}

variable "key_type" {
  description = "The JsonWebKeyType of the key to be created."
  default     = "RSA"
  type        = string
  validation {
    condition     = contains(["EC", "EC-HSM", "RSA", "RSA-HSM"], var.key_type)
    error_message = "The key_type must be one of the following: EC, EC-HSM, RSA, RSA-HSM."
  }
}

variable "key_ops" {
  type        = list(string)
  description = "The permitted JSON web key operations of the key to be created."
  default     = ["decrypt", "encrypt", "sign", "unwrapKey", "verify", "wrapKey"]
}

variable "key_size" {
  type        = number
  description = "The size in bits of the key to be created."
  default     = 2048
}

variable "msi_id" {
  type        = string
  description = "The Managed Service Identity ID. If this value isn't null (the default), 'data.azurerm_client_config.current.object_id' will be set to this value."
  default     = null
}

Créez un fichier nommé outputs.tf et insérez le code suivant :

output "resource_group_name" {
  value = azurerm_resource_group.rg.name
}

output "azurerm_key_vault_name" {
  value = azurerm_key_vault.vault.name
}

output "azurerm_key_vault_id" {
  value = azurerm_key_vault.vault.id
}

Initialisez Terraform

Exécutez terraform init pour initialiser le déploiement Terraform. Cette commande télécharge le fournisseur Azure requis pour gérer vos ressources Azure.

terraform init -upgrade

Points clés :

Le paramètre -upgrade met à niveau les plug-ins de fournisseur nécessaires vers la version la plus récente conforme aux contraintes de version de la configuration.

Créer un plan d’exécution Terraform

Exécutez le plan terraform pour créer un plan d’exécution.

terraform plan -out main.tfplan

Points clés :

La commande terraform plan crée un plan d’exécution, mais ne l’exécute pas. Au lieu de cela, il détermine les actions nécessaires pour créer la configuration spécifiée dans vos fichiers de configuration. Ce modèle vous permet de vérifier si le plan d’exécution correspond à vos attentes avant d’apporter des modifications aux ressources réelles.
Le paramètre -out facultatif vous permet de spécifier un fichier de sortie pour le plan. L’utilisation du paramètre -out garantit que le plan que vous avez examiné est exactement ce qui est appliqué.

Appliquer un plan d’exécution Terraform

Exécutez terraform pour appliquer le plan d’exécution à votre infrastructure cloud.

terraform apply main.tfplan

Points clés :

L’exemple terraform apply commande suppose que vous avez précédemment exécuté terraform plan -out main.tfplan.
Si vous avez spécifié un nom de fichier différent pour le paramètre -out, utilisez ce même nom de fichier dans l’appel à terraform apply.
Si vous n’avez pas utilisé le paramètre -out, appelez terraform apply sans aucun paramètre.

Obtenez le nom du coffre de clés Azure.

azurerm_key_vault_name=$(terraform output -raw azurerm_key_vault_name)

Exécutez az keyvault key list pour afficher des informations sur les clés du coffre de clés.
```
az keyvault key list --vault-name $azurerm_key_vault_name
```

Obtenez le nom du coffre de clés Azure.

$azurerm_key_vault_name=$(terraform output -raw azurerm_key_vault_name)

Exécutez Get-AzKeyVault pour afficher des informations sur le nouveau coffre de clés.
```
Get-AzKeyVaultKey -VaultName $azurerm_key_vault_name
```

Nettoyer les ressources

Lorsque vous n’avez plus besoin des ressources créées via Terraform, procédez comme suit :

Exécutez terraform plan et spécifiez le flag destroy.
```
terraform plan -destroy -out main.destroy.tfplan
```
Points clés :
- La commande terraform plan crée un plan d’exécution, mais ne l’exécute pas. Au lieu de cela, il détermine les actions nécessaires pour créer la configuration spécifiée dans vos fichiers de configuration. Ce modèle vous permet de vérifier si le plan d’exécution correspond à vos attentes avant d’apporter des modifications aux ressources réelles.
- Le paramètre -out facultatif vous permet de spécifier un fichier de sortie pour le plan. L’utilisation du paramètre -out garantit que le plan que vous avez examiné est exactement ce qui est appliqué.
Exécutez terraform apply pour appliquer le plan d’exécution.
```
terraform apply main.destroy.tfplan
```

Résoudre les problèmes de Terraform sur Azure

Résoudre les problèmes courants liés à l’utilisation de Terraform sur Azure.

Étapes suivantes

Vue d’ensemble de la sécurité de Key Vault

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-01-08

Partager via

Démarrage rapide : créer un coffre de clés Azure et une clé à l’aide de Terraform

Conditions préalables

Implémenter le code Terraform

Initialisez Terraform

Créer un plan d’exécution Terraform

Appliquer un plan d’exécution Terraform

Vérifier les résultats

Nettoyer les ressources

Résoudre les problèmes de Terraform sur Azure

Étapes suivantes

Commentaires

Ressources supplémentaires