Google вычисляет шифрование диска с помощью ключа KMS с использованием Terraform

Question

Что такое синтаксис Terraform для шифрования google_compute_disk с помощью настраиваемого управляемого ключа KMS в облачной платформе Google?

Ссылаясь на документацию и используя ключ KMS self_link дляdisk_encryption_key.raw_key, кажется, не работает.В результате сгенерированный диск показывает, что диск зашифрован с помощью управляемого ключа Google.

Используется ли неправильный формат?

Используемый образец приведен ниже:

**resource "google_compute_disk" "ext_disk" {
  name  = "testdisk"
  type  = "pd-ssd"
  zone = "${var.zone}"
  size = 16
  labels {
    environment = "${var.target_environment}"   
  }
  disk_encryption_key {
    raw_key = "${google_kms_crypto_key.crypto_key.self_link}"
  }
}**

Answer 1

Если вы используете провайдера GCP с версиями <2.0.0, тогда не будет отличного решения.Вы предоставляете <code>self_link, но для ресурса compute_disk требуется необработанный ключ, который нельзя экспортировать или импортировать.

Если вы используете 2.0.0 или более позднюю версию, тогда новое полеkms_key_self_link будет доступно для ссылки на ключевой ресурс KMS.

Answer 2

Ключ KMS на самом деле не поддерживается через Terraform для шифрования диска. В настоящее время он помечен для улучшения командой Terraform из GCP. Я столкнулся с той же проблемой некоторое время назад и поднял запрос вместе с ними. Вот номер билета - https://github.com/terraform-providers/terraform-provider-google/issues/2234.