通过Terraform购买并启用软件密钥管理实例_密钥管理服务(KMS)-阿里云帮助中心

本文介绍如何通过Terraform购买并启用KMS软件密钥管理实例。

概述

购买并启用软件密钥管理实例时，您需要为该KMS实例绑定VPC以及交换机，也支持为该KMS实例关联多个VPC。配置完成后生成CA实例证书，请您妥善保存，在应用访问KMS实例时需要配置该CA实例证书。

说明

当前示例代码支持一键运行，您可以直接运行代码。一键运行

前提条件

由于阿里云账号（主账号）具有资源的所有权限，一旦发生泄露将面临重大风险。建议您使用RAM用户，并为该RAM用户创建AccessKey，具体操作方式请参见创建RAM用户和创建AccessKey。

使用以下示例为RAM用户进行授权，需要为该RAM用户授予以下权限：AliyunKMSFullAccess（管理密钥管理服务）、AliyunVPCFullAccess（管理专有网络）和AliyunBSSFullAccess（管理费用中心BSS）权限。具体操作方式请参见为RAM用户授权。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "vpc:CreateVpc",
        "vpc:CreateVSwitch",
        "vpc:DescribeNatGateways",
        "vpc:DeleteVpc",
        "vpc:DeleteVSwitch"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "vpc:DescribeVpcAttribute",
        "vpc:DescribeVSwitchAttributes",
        "vpc:DescribeRouteTableList"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "bss:*",
        "bssapi:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

准备Terraform运行环境，您可以选择以下任一方式来使用Terraform。
在Terraform Explorer中使用Terraform：阿里云提供了Terraform的在线运行环境，您无需安装Terraform，登录后即可在线使用和体验Terraform。适用于零成本、快速、便捷地体验和调试Terraform的场景。
Cloud Shell：阿里云Cloud Shell中预装了Terraform的组件，并已配置好身份凭证，您可直接在Cloud Shell中运行Terraform的命令。适用于低成本、快速、便捷地访问和使用Terraform的场景。
在本地安装和配置Terraform：适用于网络连接较差或需要自定义开发环境的场景。
重要
请确保Terraform版本不低于v0.12.28。如需检查现有版本，请运行terraform --version命令。

使用的资源

alicloud_vpc：创建专有网络VPC。
alicloud_vswitch：创建虚拟交换机（vSwitch）为VPC划分一个或多个子网。
alicloud_zones：查询可用区。
alicloud_kms_instance：购买并启用KMS软件密钥管理实例。

说明

本教程示例包含的部分资源会产生一定费用，请在不需要时及时进行释放或退订。

通过Terraform购买并启用软件密钥管理实例

本示例将创建并启用一个KMS实例。

创建一个工作目录，并且在工作目录中创建以下名为main.tf的配置文件。main.tfTerraform主文件，定义了将要部署的资源。

variable "region" {
  default = "cn-shanghai"
}

provider "alicloud" {
  region = var.region
}
variable "instance_name" {
  default = "tf-kms-vpc-172-16"
}

variable "instance_type" {
  default = "ecs.n1.tiny"
}
# 使用数据源来获取可用的可用区信息。资源只能在指定的可用区内创建。
data "alicloud_zones" "default" {
  available_disk_category     = "cloud_efficiency"
  available_resource_creation = "VSwitch"
  available_instance_type     = var.instance_type
}
# 创建VPC
resource "alicloud_vpc" "vpc" {
  vpc_name   = var.instance_name
  cidr_block = "172.16.0.0/12"
}
# 创建一个Vswitch CIDR 块为 172.16.0.0/12
resource "alicloud_vswitch" "vsw" {
  vpc_id     = alicloud_vpc.vpc.id
  cidr_block = "172.16.0.0/21"
  zone_id    = data.alicloud_zones.default.zones.0.id
  vswitch_name = "terraform-example-1"
}
# 创建另一个Vswitch CIDR 块为 172.16.128.0/17
resource "alicloud_vswitch" "vsw1" {
  vpc_id     = alicloud_vpc.vpc.id
  cidr_block = "172.16.128.0/17"
  zone_id    = data.alicloud_zones.default.zones.0.id
  vswitch_name = "terraform-example-2"
}
# 创建KMS软件密钥管理实例，并使用网络参数启动
resource "alicloud_kms_instance" "default" {
  # 软件密钥管理实例
  product_version = "3"
  vpc_id          = alicloud_vpc.vpc.id
  # 规定 KMS 实例所在的可用区，使用前面获取的可用区 ID
  zone_ids = [
    data.alicloud_zones.default.zones.0.id,
    data.alicloud_zones.default.zones.1.id
  ]
  # 交换机id
  vswitch_ids = [
    alicloud_vswitch.vsw.id,alicloud_vswitch.vsw1.id
  ]
  # 计算性能、密钥数量、凭据数量、访问管理数量
  vpc_num    = "1"
  key_num    = "1000"
  secret_num = "100"
  spec       = "1000"
  # 为KMS实例关联其他VPC，可选参数
  # 如果VPC与KMS实例的VPC属于不同阿里云账号，您需要先共享交换机。
  #bind_vpcs {
  #vpc_id = "vpc-j6cy0l32yz9ttxfy6****"
  #vswitch_id = "vsw-j6cv7rd1nz8x13ram****"
  #region_id = "cn-shanghai"
  #vpc_owner_id = "119285303511****"
  #}
  #bind_vpcs {
  #vpc_id = "vpc-j6cy0l32yz9ttd7g3****"
  #vswitch_id = "vsw-3h4yrd1nz8x13ram****"
  #region_id = "cn-shanghai"
  #vpc_owner_id = "119285303511****"
  #}
}

# 保存KMS实例CA证书到本地文件
 resource "local_file" "ca_certificate_chain_pem" {
 content  = alicloud_kms_instance.default.ca_certificate_chain_pem
 filename = "ca.pem"
}

执行以下命令，初始化Terraform运行环境。

terraform init

返回如下信息，表示Terraform初始化成功。

Initializing the backend...

Initializing provider plugins...
- Reusing previous version of hashicorp/alicloud from the dependency lock file
- Using previously-installed hashicorp/alicloud v1.231.0

Terraform has been successfully initialized!

You may now begin working with Terraform. Try running "terraform plan" to see
any changes that are required for your infrastructure. All Terraform commands
should now work.

If you ever set or change modules or backend configuration for Terraform,
rerun this command to reinitialize your working directory. If you forget, other
commands will detect it and remind you to do so if necessary.

创建执行计划，并预览变更。
```
terraform plan
```

执行以下命令，创建KMS实例。

terraform apply

在执行过程中，根据提示输入yes并按下Enter键，等待命令执行完成，若出现以下信息，则表示KMS实例创建成功。

Do you want to perform these actions?
  Terraform will perform the actions described above.
  Only 'yes' will be accepted to approve.

  Enter a value: yes

...
alicloud_kms_instance.default: Creation complete after 2m33s [id=kst-shh6715bc67can2ka***]
...

Apply complete! Resources: 4 added, 0 changed, 0 destroyed.

验证结果
执行terraform show命令
您可以使用以下命令查询Terraform已创建的资源详细信息：
```
terraform show
```
登录密钥管理服务控制台
登录密钥管理服务控制台，查看已创建的KMS实例。

清理资源

当您不再需要上述通过Terraform创建或管理的资源时，请运行以下命令以释放资源。关于terraform destroy的更多信息，请参见Terraform常用命令。

terraform destroy

完整示例

说明