Создание Принципала Сервиса от Terraform не предоставляет пароль / секрет на выходе

Question

при генерации субъекта службы в Azure вручную , в результате операции мне предоставляется пароль.

Однако, если я создаю субъекта службы с помощью Terraform,пароль отсутствует среди выходов этого модуля:

  + azuread_service_principal.k8s_principal
      id:                <computed>
      application_id:    "${azuread_application.app.application_id}"
      display_name:      <computed>

Что-то я пропустил?Почему поведение Terraform отличается на выходе по сравнению с CLI?

Answer 1

password требуется ВВОД в блок azuread_service_principal_password .Таким образом, вы можете создать случайный пароль и экспортировать его самостоятельно.Полный код Terraform выглядит примерно так:

resource "azuread_application" "app" {
  name = "${local.application_name}"
}

# Create Service Principal
resource "azuread_service_principal" "app" {
  application_id = "${azuread_application.app.application_id}"
}

resource "random_string" "password" {
  length  = 32
  special = true
}

# Create Service Principal password
resource "azuread_service_principal_password" "app" {
  end_date             = "2299-12-30T23:00:00Z"                        # Forever
  service_principal_id = "${azuread_service_principal.app.id}"
  value                = "${random_string.password.result}"
}

output "sp_password" {
  value = "${azuread_service_principal_password.app.value}"
  sensitive = true
}

Answer 2

В документе terraform блок azuread_service_principal определяет только Аргумент application_id и Атрибуты id, display_name, поэтому вы можете видеть только эти ресурсы.Кроме того, блок azuread_service_principal_password позволяет экспортировать идентификатор ключа для пароля участника службы.Вы по-прежнему не видите реальный пароль.

В интерфейсе командной строки Azure az ad sp create-for-rbac имеется необязательный параметр --Password.Таким образом, вы могли видеть вывод пароля.