通过Terraform创建密钥_密钥管理服务(KMS)-阿里云帮助中心

您可以通过Terraform创建并管理密钥。本文以创建密钥为例进行介绍。

概述

KMS支持您创建默认密钥（主密钥），该密钥不需要购买KMS实例即可创建，也支持您在KMS实例中创建密钥。关于密钥的更多信息，请参见密钥服务概述。

说明

当前示例代码支持一键运行，您可以直接运行代码。一键运行

前提条件

由于阿里云账号（主账号）具有资源的所有权限，一旦发生泄露将面临重大风险。建议您使用RAM用户，并为该RAM用户创建AccessKey，具体操作方式请参见创建RAM用户和创建AccessKey。
使用以下示例为RAM用户授权，需要为该RAM用户授予以下权限：AliyunKMSFullAccess（管理密钥管理服务）权限。具体操作方式请参见为RAM用户授权。
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {}
    }
  ]
}
```
准备Terraform运行环境，您可以选择以下任一方式来使用Terraform。
在Explorer中使用Terraform：阿里云提供了Terraform的在线运行环境，您无需安装Terraform，登录后即可在线使用和体验Terraform。适用于零成本、快速、便捷地体验和调试Terraform的场景。
Cloud Shell：阿里云Cloud Shell中预装了Terraform的组件，并已配置好身份凭证，您可直接在Cloud Shell中运行Terraform的命令。适用于低成本、快速、便捷地访问和使用Terraform的场景。
在本地安装和配置Terraform：适用于网络连接较差或需要自定义开发环境的场景。

重要

请确保Terraform版本不低于v0.12.28。如需检查现有版本，请运行terraform --version命令。

使用的资源

alicloud_kms_key：创建并管理应用身份凭证。
alicloud_kms_alias：创建并管理别名。

在KMS实例中创建一个密钥

本示例将在KMS实例中创建一个密钥。

创建一个工作目录，并且在工作目录中创建以下名为main.tf的配置文件。main.tfTerraform主文件，定义了将要部署的资源。在此之前，请确保您已创建KMS实例：

variable "region" {
  default = "cn-shanghai"
}

provider "alicloud" {
  region = var.region
}
variable "instance_name" {
  default = "tf-kms-vpc-172-16"
}

variable "instance_type" {
  default = "ecs.n1.tiny"
}
# 使用数据源来获取可用的可用区信息。资源只能在指定的可用区内创建。
data "alicloud_zones" "default" {
  available_disk_category     = "cloud_efficiency"
  available_resource_creation = "VSwitch"
  available_instance_type     = var.instance_type
}
# 创建VPC
resource "alicloud_vpc" "vpc" {
  vpc_name   = var.instance_name
  cidr_block = "172.16.0.0/12"
}
# 创建一个Vswitch CIDR 块为 172.16.0.0/12
resource "alicloud_vswitch" "vsw" {
  vpc_id     = alicloud_vpc.vpc.id
  cidr_block = "172.16.0.0/21"
  zone_id    = data.alicloud_zones.default.zones.0.id
  vswitch_name = "terraform-example-1"
}
# 创建另一个Vswitch CIDR 块为 172.16.128.0/17
resource "alicloud_vswitch" "vsw1" {
  vpc_id     = alicloud_vpc.vpc.id
  cidr_block = "172.16.128.0/17"
  zone_id    = data.alicloud_zones.default.zones.0.id
  vswitch_name = "terraform-example-2"
}
# 创建KMS软件密钥管理实例，并使用网络参数启动
resource "alicloud_kms_instance" "default" {
  timeouts {
    delete = "20m" # 给删除加上超时时间
  }
  # 软件密钥管理实例
  product_version = "3"
  vpc_id          = alicloud_vpc.vpc.id
  # 规定 KMS 实例所在的可用区，使用前面获取的可用区 ID
  zone_ids = [
    data.alicloud_zones.default.zones.0.id,
    data.alicloud_zones.default.zones.1.id
  ]
  # 交换机id
  vswitch_ids = [
    alicloud_vswitch.vsw.id,alicloud_vswitch.vsw1.id
  ]
  # 计算性能、密钥数量、凭据数量、访问管理数量
  vpc_num    = "1"
  key_num    = "1000"
  secret_num = "100"
  spec       = "1000"
  # 为KMS实例关联其他VPC，可选参数
  # 如果VPC与KMS实例的VPC属于不同阿里云账号，您需要先共享交换机。
  #bind_vpcs {
  #vpc_id = "vpc-j6cy0l32yz9ttxfy6****"
  #vswitch_id = "vsw-j6cv7rd1nz8x13ram****"
  #region_id = "cn-shanghai"
  #vpc_owner_id = "119285303511****"
  #}
  #bind_vpcs {
  #vpc_id = "vpc-j6cy0l32yz9ttd7g3****"
  #vswitch_id = "vsw-3h4yrd1nz8x13ram****"
  #region_id = "cn-shanghai"
  #vpc_owner_id = "119285303511****"
  #}
}

# 保存KMS实例CA证书到本地文件
 resource "local_file" "ca_certificate_chain_pem" {
 content  = alicloud_kms_instance.default.ca_certificate_chain_pem
 filename = "ca.pem"
}

在KMS实例中创建密钥：

#密钥规格为Aliyun_AES_256，密钥用途是加密解密（ENCRYPT/DECRYPT）
resource "alicloud_kms_key" "kms_software_key_encrypt_decrypt" {
  timeouts {
    delete = "20m" # 给删除加上超时时间
  }
  description = "default_key_encrypt_decrypt description"
  # 密钥的使用方式。默认值：ENCRYPT/DECRYPT。有效值：ENCRYPT/DECRYPT: 加密或解密数据。
  key_usage = "ENCRYPT/DECRYPT"
  # 密钥的规格。默认值：Aliyun_AES_256。
  key_spec = "Aliyun_AES_256"
  # 密钥材料的来源。默认值：Aliyun_KMS。有效值：Aliyun_KMS, EXTERNAL。
  origin = "Aliyun_KMS"
  # KMS 实例的 ID。
  # 若添加此参数表明是在KMS实例中创建密钥，否则是创建默认密钥（主密钥）
  dkms_instance_id = alicloud_kms_instance.default.id
  # 在 CMK 删除之前的天数。
  pending_window_in_days = 7
  # 要分配给资源的标签映射，可选
  #tags = {
      #"Environment" = "Production"
      #"Name" = "KMS-01"
      #"SupportTeam" = "PlatformEngineering"
      #"Contact" = "aliyun@test.com"
    #}
}
#密钥别名为alias/kms_software_key_encrypt_decrypt，在整个阿里云账号下唯一。
resource "alicloud_kms_alias" "kms_software_key_encrypt_decrypt_alias" {
  # 别名
  alias_name = "alias/kms_software_key_encrypt_decrypt"
  # 密钥id
  key_id = alicloud_kms_key.kms_software_key_encrypt_decrypt.id
}

执行以下命令，初始化Terraform运行环境。

terraform init

返回如下信息，表示Terraform初始化成功。

Initializing the backend...

Initializing provider plugins...
- Reusing previous version of hashicorp/alicloud from the dependency lock file
- Using previously-installed hashicorp/alicloud v1.231.0

Terraform has been successfully initialized!

You may now begin working with Terraform. Try running "terraform plan" to see
any changes that are required for your infrastructure. All Terraform commands
should now work.

If you ever set or change modules or backend configuration for Terraform,
rerun this command to reinitialize your working directory. If you forget, other
commands will detect it and remind you to do so if necessary.

创建执行计划，并预览变更。
```
terraform plan
```

执行以下命令，创建密钥。

terraform apply

在执行过程中，根据提示输入yes并按下Enter键，等待命令执行完成，若出现以下信息，则表示密钥创建成功。

Do you want to perform these actions?
  Terraform will perform the actions described above.
  Only 'yes' will be accepted to approve.

  Enter a value: yes

...
alicloud_kms_key.kms_software_key_encrypt_decrypt: Creating...
alicloud_kms_key.kms_software_key_encrypt_decrypt: Creation complete after 0s [id=key-shh6715c21812y8i7z***]
alicloud_kms_alias.kms_software_key_encrypt_decrypt_alias: Creating...
alicloud_kms_alias.kms_software_key_encrypt_decrypt_alias: Creation complete after 0s [id=alias/kms_secret]
...

Apply complete! Resources: 2 added, 0 changed, 0 destroyed.

验证结果
执行terraform show命令
您可以使用以下命令查询Terraform已创建的资源详细信息：
```
terraform show
```
登录密钥管理服务控制台
登录密钥管理服务控制台，查看已创建的密钥。

清理资源

当您不再需要上述通过Terraform创建或管理的资源时，请运行以下命令以释放资源。关于terraform destroy的更多信息，请参见Terraform常用命令。

terraform destroy

完整示例

说明