azure - 使用 Terraform 更新 Azure KeyVault 的防火墙规则

Question

我已使用默认防火墙规则创建了 Azure KeyVault。现在我想更新防火墙规则以使用 Terraform 添加一些 IP 地址。我知道获取当前的 KeyVault 和资源组。但我发现用新的 IP 地址(防火墙)更新 KeyVault 很困难。

provider "azurerm" {
  version = "=1.36.0"
  subscription_id = "7e7f55d3-f30a-4bfd-a6be-1c59594b8592"
}

data "azurerm_resource_group" "rg_name" {
  name = "ITQIG-eu-rsv-sangamn-dev"
}

data "azurerm_key_vault" "kv_name" {
  name                = "manjugtestkv"
  resource_group_name = "${data.azurerm_resource_group.rg_name.name}"
}

Answer 1

您需要使用用于创建 key 保管库的资源:

假设您的 keyvault 是按照 terraform 文档中的方式定义的。我删除了不相关的属性。

为了允许 IP 地址列表，您需要在 network_acls block 中定义它们:

resource "azurerm_key_vault" "example" {
  name                        = "testvault"
  ...

  access_policy {
    ...
  }

  network_acls {
    # The Default Action to use when no rules match from ip_rules / 
    # virtual_network_subnet_ids. Possible values are Allow and Deny
    default_action = "Deny"

    # Allows all azure services to access your keyvault. Can be set to 'None'
    bypass         = "AzureServices"

    # The list of allowed ip addresses.
    ip_rules       = ["1.1.1.1","2.2.2.2"]

  }
}