Yandex.Cloud
  • Сервисы
  • Почему Yandex.Cloud
  • Сообщество
  • Решения
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Yandex Key Management Service
  • Начало работы
  • Пошаговые инструкции
    • Все инструкции
    • Ключ
    • Версия ключа
    • Шифрование данных
  • Концепции
    • Обзор
    • Ключ
    • Версия ключа
    • Шифрование
    • Шифрование по схеме envelope encryption
    • Консистентность ключей
    • Квоты и лимиты
  • Сценарии использования
    • Все сценарии
    • Шифрование данных
      • Какой способ шифрования выбрать?
      • Шифрование с помощью CLI и API Yandex.Cloud
      • Шифрование с помощью SDK Yandex.Cloud
      • Шифрование с помощью AWS Encryption SDK
      • Шифрование с помощью Google Tink
    • Шифрование секретов в Managed Service for Kubernetes
    • Управление ключами KMS с Hashicorp Terraform
    • Шифрование секретов в Hashicorp Terraform
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC
      • Обзор
      • SymmetricCryptoService
      • SymmetricKeyService
      • OperationService
    • REST
      • Обзор
      • SymmetricCrypto
        • Обзор
        • decrypt
        • encrypt
        • generateDataKey
        • reEncrypt
      • SymmetricKey
        • Обзор
        • cancelVersionDestruction
        • create
        • delete
        • get
        • list
        • listAccessBindings
        • listOperations
        • listVersions
        • rotate
        • scheduleVersionDestruction
        • setAccessBindings
        • setPrimaryVersion
        • update
        • updateAccessBindings
  • Вопросы и ответы
  1. Сценарии использования
  2. Управление ключами KMS с Hashicorp Terraform

Управление ключами KMS с Hashicorp Terraform

  • Добавление ключа
  • Управление доступом к ключу
  • См. также

Terraform-провайдер для Yandex.Cloud поддерживает работу с ключами KMS.

Добавление ключа

Добавить ключ KMS можно с помощью блока yandex_kms_symmetric_key:

resource "yandex_kms_symmetric_key" "kms-key" {
  lifecycle {
    prevent_destroy = true
  }

  name              = "example-symetric-key"
  description       = "description for key"
  default_algorithm = "AES_256"
  rotation_period   = "8760h" // equal to 1 year
}

Важно

Удаление ключа KMS равносильно уничтожению всех зашифрованных с его помощью данных — без ключа восстановить данные не получится. Блок lifecycle необходим, чтобы обезопасить ключ от удаления (например, командой terraform destroy).

Управление доступом к ключу

Для управления доступом к ключу через Terraform назначьте необходимые роли на каталог, содержащий ключ.

Например, назначьте на сервисный аккаунт роль, дающую права шифровать и расшифровывать данные ключами из определенного каталога:

resource "yandex_resourcemanager_folder_iam_member" "admin" {
  folder_id = "<ID каталога>"

  role   = "kms.keys.encrypterDecrypter"
  member = "serviceAccount:<ID сервисного аккаунта>"
}

См. также

  • Начало работы с Terraform в Yandex.Cloud.
  • Управление доступом.
  • Документация провайдера Yandex.Cloud.
В этой статье:
  • Добавление ключа
  • Управление доступом к ключу
  • См. также
Language
Вакансии
Политика конфиденциальности
Условия использования
© 2021 ООО «Яндекс.Облако»