附录A
Terraform的AWS提供程序使用云服务API,在Amazon Web Services(AWS)中置备基础设施。本附录将介绍如何设置新的AWS账户、创建IAM用户,以及使用CLI配置访问凭据。
AWS免费层对所有新账户自动激活,使用户能够免费(在限额内)访问许多AWS服务。要创建一个新的AWS账户,执行下面的步骤。
(1)在Web浏览器中,打开AWS主页,单击Create an AWS Account按钮。
(2)输入你的账户信息,然后选择Continue。
(3)如果你正在创建个人账户,则选择Personal Account,然后输入所有个人信息。
你将收到一封电子邮件,确认账户已创建。当你验证了电子邮件后,就可以使用根账户电子邮件和密码登录控制台。
除非要执行的任务要求具有根用户访问权限,否则不建议使用AWS根账户。相反,应该创建一个身份和访问管理(IAM)用户,为其授予管理员访问权限,然后使用该用户登录。按照下面的步骤创建管理员IAM用户。
(1)登录IAM控制台,选择Add User。
(2)勾选AWS Management Console access复选框,选择Custom Password,然后输入新的密码。
(3)在Permission页面中,直接附加AdministratorAccess策略,或者将此用户添加到已经具有该策略的组中。
然后,在Security Credentials标签页中,你就可以创建访问密钥,用于AWS服务API的身份验证了。你可以把这些访问密钥直接设置为环境变量(AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY),也可以把它们存储到一个AWS配置文件中。如果选择第2个选项,则先要安装AWS CLI。
AWS CLI是一个允许通过编程访问AWS服务的工具。它有针对Windows操作系统、Linux操作系统和macOS的分发版本,可从Amazon官网下载。
AWS CLI在一个凭据文件中存储凭据信息。在Linux操作系统和macOS中,这个文件是~/.aws/credentials;在Windows操作系统中,是%USERPRO-FILE%.aws\credentials。你可以使用aws configure命令快速设置和查看你的凭据。可选的-profile标志会创建一个命名的profile。如果不设置该标志,则会创建默认profile。
下面的示例代码通过CLI配置凭据。根据个人实际情况替换访问密钥和地区。
$ aws configure --profile tf-user
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLEAWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEYDefault region name [None]: us-west-2Default output format [None]: json
完成后,凭据将存储到凭据文件内。
[tf-user]output = jsonregion = us-west-2aws_access_key_id = AKIAIOSFODNN7EXAMPLEaws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
既然已经获得了凭据,并把它们存储到了profile中,你就可以在Terraform中使用它们了。这可以通过声明一个provider块实现。