截至今天,管理云提供商访问密钥和ID等机密是Terraform项目中的一个未解决的问题(请参阅github问题(。无论何时,我们运行terraform plan或terraform apply,这些秘密都以纯文本形式存储在地形状态文件中。有许多第三方编校和加密脚本,例如 terrahelp。
我的问题:Consul 是用于存储远程地形状态的本机后端。是否可以使用 Vault 加密存储在 Consul 中的状态文件?我尝试搜索 Terraform 后端文档,但找不到任何允许 Consul 使用 Vault 加密状态文件的配置标志。
尽管我非常想要该功能,但遗憾的是,我认为目前这是不可能的。如果您希望对整个状态文件进行加密,则需要选择另一个开箱即用的后端,例如启用了存储桶加密的 s3。
如果有官方方法可以挂钩到状态文件读取/存储过程以自己合并保管库加密(或任何其他自定义要求(,那也很好,但这也是不可能的。
小站点注释:terraform plan不会向状态文件写入任何内容。这是一个只读操作,否则不能认为它使用安全。