Terraform-provider-local: sensitive = true인 경우 local_file은 출력에 민감한 정보를 인쇄하지 않아야 합니다.

에 만든 2018년 08월 22일 · 14코멘트 · 출처: hashicorp/terraform-provider-local

_이 문제는 원래 @mtheus에 의해 hashicor /terraform#18718로 열렸습니다. 공급자 분할 의 결과로 여기로 마이그레이션되었습니다. 문제의 본문은 아래에 있습니다._

테라폼 버전

Terraform v0.11.8

Terraform 구성 파일

resource "local_file" "kubeconfig" {
    sensitive = true
    content  = "${data.terraform_remote_state.kubernetes.kubeconfig}"
    filename = ".kube/config"
}

디버그 출력

예상되는 동작

민감한 정보는 출력에 없는 것 같습니다

실제 행동

data.terraform_remote_state.kubernetes: Refreshing state...
local_file.kubeconfig: Creating...
  content:  "" => "\n\napiVersion: v1\nclusters:\n- cluster:\n    server: https://**<SENSIVE>**.sk1.us-east-1.eks.amazonaws.com\n    certificate-authority-data: LS0tLS1C**<SENSIVE>**\n  name: kubernetes\ncontexts:\n- context:\n    cluster: kubernetes\n    user: aws\n  name: aws\ncurrent-context: aws\nkind: Config\npreferences: {}\nusers:\n- name: aws\n  user:\n    exec:\n      apiVersion: client.authentication.k8s.io/v1alpha1\n      command: aws-iam-authenticator\n      args:\n        - \"token\"\n        - \"-i\"\n        - \"latam\"\n"
  filename: "" => ".kube/config"
local_file.kubeconfig: Creation complete after 0s (ID: 73a74cc24de6ebfe8304a9b889415884fd819390)

번식 단계

terraform init
terraform apply

보완

출력을 인쇄하는 모든 구성 요소에 적용해야 합니다.

출처

ghost

👍14

가장 유용한 댓글

https://github.com/terraform-providers/terraform-provider-local/releases/tag/v1.2.0 은 이제 sensitive_content 에 대한 지원을 추가하여 이 문제를 종료할 수 있다고 생각합니다.

invidian 에 2019년 04월 02일

👍4 🎉2 👀1 🚀1

모든 14 댓글

마스터의 코드 는 솔루션을 구현합니다: sensitve_content . 나머지 Terraform 리소스와 일치하지 않지만 적어도 솔루션입니다.

그러나 Terraform v0.11.10 및 provider.local v1.1.0에서는 아직 사용할 수 없는 것 같습니다.

Lasering 에 2018년 11월 06일

이것은 2018년 3월 #9에서 구현되었지만 아직 릴리스되지 않았습니다.

alewando 에 2018년 11월 13일

@alewando 여기 느린 응답에 대해 죄송합니다! 핵심 팀은 terraform 0.12 릴리스에 대해 전면적으로 작업했으며 불행히도 이 공급자와 같은 일부 항목은 결과적으로 무시되었습니다.

보류 중인 PR을 검토하고 릴리스를 게시하도록 상기시키기 위해 이 책을 북마크에 추가하겠습니다. 이 특정 문제를 해결해 주셔서 감사합니다. 기다려 주셔서 감사합니다!

mildwonkey 에 2018년 11월 14일

👍3

@mildwonkey 릴리즈 컷이 나올 가능성이 있나요? 새 릴리스를 분기하고 수행할 수 있지만 사용자 정의 플러그인을 가져오려면 Terraform 오케스트레이션에 보일러 플레이트 로드가 필요합니다.

joshmyers 에 2019년 01월 09일

👍3

@mildwonkey 다시 한 번 릴리스를 요청합니다. 그것은 쉬운 승리이며 우리에게 많은 도움이 될 수 있습니다.

Sytten 에 2019년 03월 05일

👍3 😄1

@mildwonkey 저도 이것이 환상적인 기능이 될 것이라고 생각하고 출시를 고대하고 있습니다. 🙂

unacceptable 에 2019년 03월 15일

임시 대안을 찾는 사람들을 위해 여러 RDS 데이터베이스에 대한 자격 증명을 내보내는 작업을 수행했습니다(데이터베이스/비밀번호 및 마스터 비밀번호 맵이 있음).

locals {
  databases = "${keys(var.shared_db_databases_passwords)}"
  manual_output = {
    endpoint  = "${module.shared_database.database_endpoint}"
    username  = "myusername"
    password  = "${var.shared_db_master_password}"
    port      = 5432
    databases = "${local.databases}"
    passwords = "${values(var.shared_db_databases_passwords)}"
  }
}

resource "null_resource" "manual_output" {
  triggers {
    databases = "${join(",", local.databases)}"
  }

  provisioner "local-exec" {
    command = "echo $DATA > manual_output.json"
    environment {
      DATA = "${jsonencode(local.manual_output)}" # Necessary to hide outputs
    }
  }
}

Sytten 에 2019년 03월 15일

invidian 에 2019년 04월 02일

👍4 🎉2 👀1 🚀1

@invidian 감사합니다!

mildwonkey 에 2019년 04월 02일

local_file 데이터 소스는 sensitive_content 도 지원해야 합니다.

ShahNewazKhan 에 2019년 04월 09일

👍2

@ShahNewazKhan local_file 데이터 소스에 sensitive_content 속성이 있어야 한다는 말씀이신가요? 그렇다면 이것을 사용하는 경우는 무엇입니까?

unacceptable 에 2019년 04월 10일

@unacceptable 실제로 local_file 리소스를 생성하는 것과는 다른 방식으로 local_file 리소스의 내용을 설정한다고 상상해 보십시오(또는 기존 파일을 읽으려는 경우). 해당 콘텐츠가 처음에 민감한 경우 출력이나 tfstate에 직접 표시하지 않고 액세스해야 합니다.

diirib 에 2020년 01월 14일

이 기능을 갖는 것이 의미가 있다고 생각합니다. local_file 데이터 소스에는 sensitive_filename 매개변수가 있을 수 있으며, 이는 콘텐츠가 content (및 content_base64 ) 대신 sensitive_content 속성에 있어야 함을 나타냅니다. content_base64 ). 그러나 그것은 새로운 기능 제안처럼 보입니다. 아마도 그것을 해결하기 위해 또 다른 문제를 만들어야 하지 않을까요?

invidian 에 2020년 01월 14일

👍1

방금 여기에서 만들었습니다.
https://github.com/terraform-providers/terraform-provider-local/issues/36

데이터 구조에 옵션이 있어야 한다고 생각하므로 local_file 리소스를 통해 정의된 파일에서 sensitive_content를 가져올 뿐만 아니라 기존 파일에서도 가져올 수 있습니다.