Configuration du fournisseur

Par défaut, le fournisseur Terraform utilise l'authentification par clé d'API, mais vous pouvez l'indiquer explicitement en définissant l'attribut auth sur "APIKey" dans la définition de fournisseur. Les appels vers OCI à l'aide de l'authentification par clé d'API exigent que vous fournissiez les informations d'identification suivantes :

• tenancy_ocid : OCID de votre location. Pour obtenir cette valeur, reportez-vous à Emplacement de l'OCID de la location et de l'OCID de l'utilisateur.
• user_ocid : OCID de l'utilisateur appelant l'API. Pour obtenir cette valeur, reportez-vous à Emplacement de l'OCID de la location et de l'OCID de l'utilisateur.
• private_key : contenu du fichier de clés privées. Valeur requise si private_key_path n'est pas défini, et prioritaire sur private_key_path si les deux sont définis. Pour plus d'informations sur la création et la configuration de clés, reportez-vous à Procédure de génération d'une clé de signature d'API et à Procédure de téléchargement de la clé publique.
• private_key_path : chemin (nom de fichier compris) de la clé privée stockée sur votre ordinateur. Valeur requise si private_key n'est pas défini. Pour plus d'informations sur la création et la configuration de clés, reportez-vous à Procédure de génération d'une clé de signature d'API et à Procédure de téléchargement de la clé publique.
• private_key_password (facultatif) : phrase de passe utilisée pour la clé, si elle est cryptée.
• fingerprint : empreinte de la paire de clés utilisée. Pour obtenir la valeur, reportez-vous à Procédure d'obtention de l'empreinte de la clé.
• region : région OCI. Reportez-vous à Régions et domaines de disponibilité.
• config_file_profile : nom du profil si vous souhaitez utiliser un profil personnalisé dans le fichier de configuration OCI pour fournir les informations d'identification d'authentification. Pour plus d'informations, reportez-vous à Utilisation du fichier de configuration du kit SDK et de l'interface de ligne de commande.

Par exemple, indiquez ces valeurs en tant que variables d'environnement ou dans les variables de configuration Terraform.

L'autorisation de principal d'instance permet à votre fournisseur d'effectuer des appels d'API à partir d'une instance de calcul OCI sans avoir besoin des attributs tenancy_ocid, user_ocid, private_key_path et fingerprint dans la définition de fournisseur.

Afin d'activer l'autorisation de principal d'instance pour les fournisseurs OCI Terraform, définissez l'attribut auth sur "InstancePrincipal" dans la définition de fournisseur, comme indiqué dans l'exemple suivant :

variable "region" {}

provider "oci" {
   auth = "InstancePrincipal"
   region = var.region
}

Pour plus d'informations, reportez-vous à Appel de services à partir d'une instance.

L'autorisation de principal de ressource, telle que l'autorisation de principal d'instance, permet au fournisseur d'effectuer des appels d'API sans avoir à fournir d'informations d'identification dans la définition de fournisseur. L'autorisation de principal de ressource est utilisée pour autoriser les ressources telles qu'une fonction en cours d'exécution à accéder à d'autres ressources Oracle Cloud Infrastructure. Pour plus d'informations, reportez-vous à Accès à d'autres ressources Oracle Cloud Infrastructure à partir de fonctions en cours d'exécution.

Afin d'activer l'autorisation de principal de ressource pour les fournisseurs OCI Terraform: procédez comme suit :

1. Créez les stratégies et le groupe dynamique requis par la fonction en cours d'exécution pour gérer d'autres ressources OCI. Suivez les instructions de la section Utilisation de la console sous Accès à d'autres ressources Oracle Cloud Infrastructure à partir de fonctions en cours d'exécution et assurez-vous que la stratégie autorise la gestion d'autres ressources.

2. Configurez les variables d'environnement suivantes :

   • OCI_RESOURCE_PRINCIPAL_VERSION, contenant la valeur 2.2.

     Lorsque la valeur est 1, le remplacement de région n'est pas pris en charge.

   • OCI_RESOURCE_PRINCIPAL_RPST, contenant le contenu brut du fichier rpst ou le chemin absolu du fichier rpst, y compris le nom du fichier.

   • OCI_RESOURCE_PRINCIPAL_PRIVATE_PEM, contenant le chemin absolu du fichier private.pem (y compris le nom de fichier).

   • OCI_RESOURCE_PRINCIPAL_REGION, contenant l'identificateur de la région dans laquelle le fournisseur est déployé (par exemple, us-phoenix-1).

3. Définissez l'attribut auth sur "ResourcePrincipal" dans la définition de fournisseur.

   Remarque
   
   

   La valeur de region dans le bloc de fournisseur remplace la valeur de région définie par la variable d'environnement OCI_RESOURCE_PRINCIPAL_REGION. Cette modification, introduite dans la version 5.0.0 du fournisseur Terraform, n'est pas compatible avec le bas.

   Lorsque la valeur de la variable d'environnement OCI_RESOURCE_PRINCIPAL_VERSION est 1, le remplacement de région n'est pas pris en charge.

   Exemple :

   provider "oci" {
      auth = "ResourcePrincipal"
      region = var.region
   }

L'authentification par jeton de sécurité permet d'exécuter Terraform à l'aide d'un jeton généré avec l'authentification basée sur un jeton pour l'interface de ligne de commande. Pour activer l'authentification par jeton de sécurité, mettez à jour la définition de fournisseur comme suit :

Par exemple :

# Configure the Oracle Cloud Infrastructure provider to use Security Token authentication
provider "oci" {
  auth = "SecurityToken"
  config_file_profile = "PROFILE"
  region = var.region
}

Dans Kubernetes, une charge de travail est une application exécutée sur un cluster Kubernetes. Une charge globale peut être un composant d'application s'exécutant dans un seul pod ou plusieurs composants d'application s'exécutant dans un ensemble de pods qui fonctionnent ensemble. Tous les pods de la charge globale sont exécutés dans le même espace de noms.

Dans Oracle Cloud Infrastructure, une charge globale exécutée sur un cluster Kubernetes géré par Container Engine for Kubernetes (également appelé OKE) est considérée comme une ressource à part entière. Une ressource de charge globale est identifiée par la combinaison unique de cluster Kubernetes, d'espace de noms et de compte de service. Cette combinaison unique est appelée identité de charge globale.

L'authentification d'identité de charge globale OKE permet aux charges globales exécutées sur des clusters Kubernetes gérés par Container Engine for Kubernetes d'accéder à d'autres ressources Oracle Cloud Infrastructure. Pour plus d'informations, reportez-vous à Autorisation d'accès aux ressources OCI pour les charges globales.

Afin d'activer l'authentification d'identité de charge globale OKE pour les fournisseurs OCI Terraform, définissez l'attribut auth sur "OKEWorkloadIdentity" dans la définition de fournisseur, comme indiqué dans l'exemple suivant :

variable "region" {}
provider "oci" {
   auth = "OKEWorkloadIdentity"
   region = var.region
}

Vous pouvez exporter les valeurs d'authentification requises en tant que variables d'environnement ou les appliquer à différents profils bash lors de l'exécution des commandes Terraform.

Si vous travaillez principalement dans un seul compartiment, envisagez d'exporter l'OCID de compartiment en tant que variable d'environnement. L'OCID de location est également l'OCID du compartiment racine et peut être utilisé lorsqu'un OCID de compartiment est requis.

Exemple d'export UNIX et Linux

L'exemple UNIX et Linux bash_profile suivant s'applique lorsque la configuration Terraform est limitée à un seul compartiment ou utilisateur.

export OCI_DEFAULT_CERTS_PATH=<certificates_path>
export TF_VAR_tenancy_ocid=<tenancy_OCID>
export TF_VAR_compartment_ocid=<compartment_OCID>
export TF_VAR_user_ocid=<user_OCID>
export TF_VAR_fingerprint=<key_fingerprint>
export TF_VAR_private_key_path=<private_key_path>
export TF_VAR_region=<region>
export USER_AGENT_PROVIDER_NAME=<custom_user_agent>
export OCI_SDK_APPEND_USER_AGENT=<custom_user_agent>
export TF_APPEND_USER_AGENT=<custom_user_agent>

Après avoir défini ces valeurs, ouvrez un nouveau terminal ou une nouvelle source, le profil change :

$ source ~/.bash_profile

Pour les environnements plus complexes, envisagez de gérer plusieurs ensembles de variables d'environnement.

Exemple d'export Windows

Remarque

Vérifiez le format PEM pour les clés. Pour plus d'informations, reportez-vous à Procédure de génération d'une clé de signature d'API.

L'exemple Windows suivant s'applique lorsque la configuration Terraform est limitée à un seul compartiment ou utilisateur.

setx OCI_DEFAULT_CERTS_PATH=<certificates_path>
setx TF_VAR_tenancy_ocid <tenancy_OCID>
setx TF_VAR_compartment_ocid <compartment_OCID>
setx TF_VAR_user_ocid <user_OCID>
setx TF_VAR_fingerprint <key_fingerprint>
setx TF_VAR_private_key_path <private_key_path>
setx TF_VAR_region=<region>
setx USER_AGENT_PROVIDER_NAME=<custom_user_agent>
setx OCI_SDK_APPEND_USER_AGENT=<custom_user_agent>
setx TF_APPEND_USER_AGENT=<custom_user_agent>

Après avoir défini ces valeurs, quittez et rouvrez le terminal. (Les variables ne sont pas définies pour la session en cours.)

Pour utiliser un agent utilisateur personnalisé, exportez l'une des variables d'environnement suivantes. Une seule variable d'environnement est prise en compte à la fois, suivant cet ordre de priorité :

• USER_AGENT_PROVIDER_NAME
• OCI_SDK_APPEND_USER_AGENT
• TF_APPEND_USER_AGENT

Accédez en toute sécurité aux buckets de stockage dans Object Storage avec des adresses dédiées à l'aide du fournisseur OCI Terraform. Lors de la configuration du fournisseur, utilisez une variable d'environnement, un paramètre dans le bloc de fournisseur, ou les deux. Si vous utilisez les deux, le paramètre de bloc du fournisseur est prioritaire.

La variable d'environnement est OCI_REALM_SPECIFIC_SERVICE_ENDPOINT_TEMPLATE_ENABLED. La valeur par défaut est false. Définissez la valeur sur true pour utiliser une adresse dédiée.

Le paramètre de bloc de fournisseur est realm_specific_service_endpoint_template_enabled. La valeur par défaut est false. Définissez la valeur sur true pour utiliser une adresse dédiée.