如何在 Terraform 中创建 SSH 密钥?
How do I create an SSH key in Terraform?
我需要为不同的用户启动一堆 EC2 盒子。每个用户都应该与其他所有用户隔离开来,因此每个 EC2 盒子都需要自己的 SSH 密钥。
在 Terraform 中完成此任务的最佳方法是什么?
我发现的几乎所有说明都要求我手动创建 SSH 密钥并将其粘贴到 terraform 脚本中。
(差)示例:
- https://github.com/hashicorp/terraform/issues/1243,
- http://2ninjas1blog.com/terraform-assigning-an-aws-key-pair-to-your-ec2-instance-resource/
)
因为我需要以编程方式为许多用户生成唯一密钥,所以这是不切实际的。
这似乎不是一个困难的用例,但我无法在任何地方找到它的文档。
在紧要关头,我可以生成 Terraform 脚本并使用 Bash 即时注入 SSH 密钥。但这似乎正是 Terraform 一开始就应该做的事情。
Terraform 可以使用 tls_private_key resource.
生成 SSL/SSH 个私钥
因此,如果您想即时生成 SSH 密钥,您可以这样做:
variable "key_name" {}
resource "tls_private_key" "example" {
algorithm = "RSA"
rsa_bits = 4096
}
resource "aws_key_pair" "generated_key" {
key_name = var.key_name
public_key = tls_private_key.example.public_key_openssh
}
data "aws_ami" "ubuntu" {
most_recent = true
filter {
name = "name"
values = ["ubuntu/images/hvm-ssd/ubuntu-focal-20.04-amd64-server-*"]
}
filter {
name = "virtualization-type"
values = ["hvm"]
}
owners = ["099720109477"] # Canonical
}
resource "aws_instance" "web" {
ami = data.aws_ami.ubuntu.id
instance_type = "t2.micro"
key_name = aws_key_pair.generated_key.key_name
tags {
Name = "HelloWorld"
}
}
output "private_key" {
value = tls_private_key.example.private_key_pem
sensitive = true
}
这将创建一个处于 Terraform 状态的 SSH 密钥对(除了不使用远程状态时可能对 Terraform 状态本身执行的操作外,它不会写入文件中的磁盘),创建一个 AWS 密钥对基于 public 密钥,然后创建一个 Ubuntu 14.04 实例,其中可以使用生成的私钥访问 ubuntu 用户。
然后您必须从状态文件中提取私钥并将其提供给用户。当应用 Terraform 时,您可以使用 output 将其直接输出到标准输出。
通过以下命令从私钥获取输出:
terraform output -raw private_key
安全注意事项
我应该在这里指出,传递私钥通常不是一个好主意,让开发人员创建他们自己的密钥对并为您提供您(或他们)的 public 密钥会更好) 可用于生成 AWS 密钥对(可能使用上例中使用的 aws_key_pair resource),然后可以在创建实例时指定。
一般来说,我只会使用类似上述的方法为您控制的非常临时的开发环境生成 SSH 密钥,因此您不需要将私钥传递给任何人。如果您确实需要将私钥传递给其他人,您需要确保在安全通道中执行此操作,并确保 Terraform 状态(包含明文私钥)也得到适当保护。
2022 年 2 月更新:
下面的代码创建 myKey 到 AWS 和 myKey.pem 到 your computer 并且创建的 myKey 和 myKey.pem 具有相同的私有键。 (我用了Terraform v0.15.4)
resource "tls_private_key" "pk" {
algorithm = "RSA"
rsa_bits = 4096
}
resource "aws_key_pair" "kp" {
key_name = "myKey" # Create "myKey" to AWS!!
public_key = tls_private_key.pk.public_key_openssh
provisioner "local-exec" { # Create "myKey.pem" to your computer!!
command = "echo '${tls_private_key.pk.private_key_pem}' > ./myKey.pem"
}
}
在通过 ssh 连接到您的 ec2 实例之前,请不要忘记让 myKey.pem 只有您 运行 可读下面的代码。
chmod 400 myKey.pem
否则会出现下面的错误
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0664 for 'myKey.pem' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "myKey.pem": bad permissions
ubuntu@35.72.30.251: Permission denied (publickey).
之前答案的扩展,不适合评论:
将生成的密钥写入具有正确权限的私有文件:
resource "local_file" "pem_file" {
filename = pathexpand("~/.ssh/${local.ssh_key_name}.pem")
file_permission = "600"
directory_permission = "700"
sensitive_content = tls_private_key.ssh.private_key_pem
}
然而,这样保存文件的一个缺点是路径最终将处于地形状态。如果只有 CI/CD and/or 一个人 运行 terraform 应用,这没什么大不了的,但是如果有更多的“应用程序”,只要与上次应用运行不同的人应用,tfstate 就会更新。这会产生一些“更新”噪音。没什么大不了的,但需要注意一下。
避免这种情况的替代方法是将 pem 文件保存在 AWS Secrets Manager 中,或在 S3 中加密,并提供一个命令来获取它并创建本地文件。
您必须将此与@ydaetskcoR 答案一起添加
output "ssh_key" {
description = "ssh key generated by terraform"
value = tls_private_key.asg_lc_key.private_key_pem
}
添加到 :
variable "generated_key_name" {
type = string
default = "terraform-key-pair"
description = "Key-pair generated by Terraform"
}
resource "tls_private_key" "dev_key" {
algorithm = "RSA"
rsa_bits = 4096
}
resource "aws_key_pair" "generated_key" {
key_name = var.generated_key_name
public_key = tls_private_key.dev_key.public_key_openssh
provisioner "local-exec" { # Generate "terraform-key-pair.pem" in current directory
command = <<-EOT
echo '${tls_private_key.dev_key.private_key_pem}' > ./'${var.generated_key_name}'.pem
chmod 400 ./'${var.generated_key_name}'.pem
EOT
}
}
我需要为不同的用户启动一堆 EC2 盒子。每个用户都应该与其他所有用户隔离开来,因此每个 EC2 盒子都需要自己的 SSH 密钥。
在 Terraform 中完成此任务的最佳方法是什么?
我发现的几乎所有说明都要求我手动创建 SSH 密钥并将其粘贴到 terraform 脚本中。
(差)示例:
- https://github.com/hashicorp/terraform/issues/1243,
- http://2ninjas1blog.com/terraform-assigning-an-aws-key-pair-to-your-ec2-instance-resource/
因为我需要以编程方式为许多用户生成唯一密钥,所以这是不切实际的。
这似乎不是一个困难的用例,但我无法在任何地方找到它的文档。
在紧要关头,我可以生成 Terraform 脚本并使用 Bash 即时注入 SSH 密钥。但这似乎正是 Terraform 一开始就应该做的事情。
Terraform 可以使用 tls_private_key resource.
因此,如果您想即时生成 SSH 密钥,您可以这样做:
variable "key_name" {}
resource "tls_private_key" "example" {
algorithm = "RSA"
rsa_bits = 4096
}
resource "aws_key_pair" "generated_key" {
key_name = var.key_name
public_key = tls_private_key.example.public_key_openssh
}
data "aws_ami" "ubuntu" {
most_recent = true
filter {
name = "name"
values = ["ubuntu/images/hvm-ssd/ubuntu-focal-20.04-amd64-server-*"]
}
filter {
name = "virtualization-type"
values = ["hvm"]
}
owners = ["099720109477"] # Canonical
}
resource "aws_instance" "web" {
ami = data.aws_ami.ubuntu.id
instance_type = "t2.micro"
key_name = aws_key_pair.generated_key.key_name
tags {
Name = "HelloWorld"
}
}
output "private_key" {
value = tls_private_key.example.private_key_pem
sensitive = true
}
这将创建一个处于 Terraform 状态的 SSH 密钥对(除了不使用远程状态时可能对 Terraform 状态本身执行的操作外,它不会写入文件中的磁盘),创建一个 AWS 密钥对基于 public 密钥,然后创建一个 Ubuntu 14.04 实例,其中可以使用生成的私钥访问 ubuntu 用户。
然后您必须从状态文件中提取私钥并将其提供给用户。当应用 Terraform 时,您可以使用 output 将其直接输出到标准输出。
通过以下命令从私钥获取输出:
terraform output -raw private_key
安全注意事项
我应该在这里指出,传递私钥通常不是一个好主意,让开发人员创建他们自己的密钥对并为您提供您(或他们)的 public 密钥会更好) 可用于生成 AWS 密钥对(可能使用上例中使用的 aws_key_pair resource),然后可以在创建实例时指定。
一般来说,我只会使用类似上述的方法为您控制的非常临时的开发环境生成 SSH 密钥,因此您不需要将私钥传递给任何人。如果您确实需要将私钥传递给其他人,您需要确保在安全通道中执行此操作,并确保 Terraform 状态(包含明文私钥)也得到适当保护。
2022 年 2 月更新:
下面的代码创建 myKey 到 AWS 和 myKey.pem 到 your computer 并且创建的 myKey 和 myKey.pem 具有相同的私有键。 (我用了Terraform v0.15.4)
resource "tls_private_key" "pk" {
algorithm = "RSA"
rsa_bits = 4096
}
resource "aws_key_pair" "kp" {
key_name = "myKey" # Create "myKey" to AWS!!
public_key = tls_private_key.pk.public_key_openssh
provisioner "local-exec" { # Create "myKey.pem" to your computer!!
command = "echo '${tls_private_key.pk.private_key_pem}' > ./myKey.pem"
}
}
在通过 ssh 连接到您的 ec2 实例之前,请不要忘记让 myKey.pem 只有您 运行 可读下面的代码。
chmod 400 myKey.pem
否则会出现下面的错误
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0664 for 'myKey.pem' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "myKey.pem": bad permissions
ubuntu@35.72.30.251: Permission denied (publickey).
之前答案的扩展,不适合评论:
将生成的密钥写入具有正确权限的私有文件:
resource "local_file" "pem_file" {
filename = pathexpand("~/.ssh/${local.ssh_key_name}.pem")
file_permission = "600"
directory_permission = "700"
sensitive_content = tls_private_key.ssh.private_key_pem
}
然而,这样保存文件的一个缺点是路径最终将处于地形状态。如果只有 CI/CD and/or 一个人 运行 terraform 应用,这没什么大不了的,但是如果有更多的“应用程序”,只要与上次应用运行不同的人应用,tfstate 就会更新。这会产生一些“更新”噪音。没什么大不了的,但需要注意一下。
避免这种情况的替代方法是将 pem 文件保存在 AWS Secrets Manager 中,或在 S3 中加密,并提供一个命令来获取它并创建本地文件。
您必须将此与@ydaetskcoR 答案一起添加
output "ssh_key" {
description = "ssh key generated by terraform"
value = tls_private_key.asg_lc_key.private_key_pem
}
添加到
variable "generated_key_name" {
type = string
default = "terraform-key-pair"
description = "Key-pair generated by Terraform"
}
resource "tls_private_key" "dev_key" {
algorithm = "RSA"
rsa_bits = 4096
}
resource "aws_key_pair" "generated_key" {
key_name = var.generated_key_name
public_key = tls_private_key.dev_key.public_key_openssh
provisioner "local-exec" { # Generate "terraform-key-pair.pem" in current directory
command = <<-EOT
echo '${tls_private_key.dev_key.private_key_pem}' > ./'${var.generated_key_name}'.pem
chmod 400 ./'${var.generated_key_name}'.pem
EOT
}
}