在Google云平台中使用自定义托管KMS密钥对google_compute_disk进行加密的Terraform语法是什么?
引用documentation并为self_link使用KMS密钥disk_encryption_key.raw_key似乎不起作用。生成的结果磁盘显示该磁盘已通过Google托管密钥加密。
使用的格式错误吗?
使用的样品如下:
**resource "google_compute_disk" "ext_disk" {
name = "testdisk"
type = "pd-ssd"
zone = "${var.zone}"
size = 16
labels {
environment = "${var.target_environment}"
}
disk_encryption_key {
raw_key = "${google_kms_crypto_key.crypto_key.self_link}"
}
}**
答案 0 :(得分:0)
Terraform并不真正支持KMS密钥来加密磁盘。目前,GCP的Terraform团队已将其标记为增强功能。前段时间我也遇到了同样的问题,并向他们提出了疑问。这是票号-{{3 }}。
答案 1 :(得分:0)
如果您使用的版本低于2.0.0的GCP提供程序,则没有一个很好的解决方案。您提供的是self_link,但是compute_disk资源需要一个原始密钥,该原始密钥是cannot be exported或导入的。
如果您使用2.0.0或更高版本,则可以使用新字段kms_key_self_link来引用KMS密钥资源。