Configuración del proveedor

Por defecto, el proveedor de Terraform utiliza la autenticación de clave de API, pero usted puede especificarlo explícitamente definiendo el atributo auth en "APIKey" en la definición del proveedor. Las llamadas a OCI mediante la autenticación de clave de API requieren que proporcione las siguientes credenciales:

• tenancy_ocid: OCID del arrendamiento. Para obtener el valor, consulte Dónde obtener el OCID del arrendamiento y el OCID del usuario.
• user_ocid: OCID del usuario que llama a la API. Para obtener el valor, consulte Dónde obtener el OCID del arrendamiento y el OCID del usuario.
• private_key: contenido del archivo de clave privada. Es necesario si private_key_path no está definido y tiene prioridad sobre private_key_path si ambos están definidos. Para obtener más información sobre cómo crear y configurar claves, consulte Cómo generar una clave de firma de API y Cómo cargar la clave pública.
• private_key_path: ruta de acceso (incluido el nombre del archivo) de la clave privada almacenada en su computadora. Es necesario si private_key no está definido. Para obtener más información sobre cómo crear y configurar claves, consulte Cómo generar una clave de firma de API y Cómo cargar la clave pública.
• private_key_password: (opcional) frase de contraseña utilizada para la clave, si está cifrada.
• fingerprint: huella del par de claves que se está utilizando. Para obtener el valor, consulte Cómo obtener la huella de la clave.
• region: una región de OCI. Consulte Regiones y dominios de disponibilidad.
• config_file_profile: nombre de perfil si desea utilizar un perfil personalizado en el archivo de configuración de OCI para proporcionar las credenciales de autenticación. Consulte Uso del archivo de configuración de SDK y CLI para obtener más información.

Por ejemplo, proporcione estos valores como variables de entorno o dentro de variables de configuración de Terraform.

La autorización de principal de instancia permite al proveedor realizar llamadas de API desde una instancia informática de OCI sin necesitar los atributos tenancy_ocid, user_ocid, private_key_path y fingerprint en la definición del proveedor.

Para activar la autorización de principal de instancia para los proveedores de Terraform de OCI, defina el atributo auth en "InstancePrincipal" en la definición del proveedor, como se muestra en el siguiente ejemplo:

variable "region" {}

provider "oci" {
   auth = "InstancePrincipal"
   region = var.region
}

Para obtener más información, consulte Llamada a servicios desde una instancia.

La autorización de la principal de recurso, como la autorización del principal de instancia, permite al proveedor realizar llamadas de API sin necesidad de proporcionar credenciales en la definición del proveedor. La autorización de entidad de recurso se utiliza para permitir que recursos como una función en ejecución accedan a otros recursos de Oracle Cloud Infrastructure. Para obtener más información, consulte Acceso a otros recursos de Oracle Cloud Infrastructure desde funciones en ejecución.

Para activar la autorización del principal de recursos para proveedores de Terraform de OCI:

1. Cree el grupo dinámico y las políticas necesarias para que la función en ejecución gestione otros recursos de OCI. Siga las instrucciones de Uso de la consola en Acceso a otros recursos de Oracle Cloud Infrastructure desde funciones en ejecución y asegúrese de que la política permite la gestión de otros recursos.

2. Configure las siguientes variables de entorno:

   • OCI_RESOURCE_PRINCIPAL_VERSION, que contiene el valor 2.2.

     Cuando el valor es 1, no se admite la sustitución de región.

   • OCI_RESOURCE_PRINCIPAL_RPST, que contiene el contenido sin procesar del archivo rpst o la ruta de acceso absoluta del archivo rpst, incluido el nombre de archivo.

   • OCI_RESOURCE_PRINCIPAL_PRIVATE_PEM, que contiene la ruta absoluta al archivo private.pem (incluido el nombre de archivo).

   • OCI_RESOURCE_PRINCIPAL_REGION, que contiene el identificador de la región en la que se despliega el proveedor (por ejemplo, us-phoenix-1).

3. Defina el atributo auth en "ResourcePrincipal" en la definición del proveedor.

   Nota
   
   

   El valor de region en el bloque de proveedor sustituye el valor de región definido por la variable de entorno OCI_RESOURCE_PRINCIPAL_REGION. Este cambio, introducido en la versión 5.0.0 del proveedor de Terraform, no es compatible con las versiones descendentes.

   Cuando el valor de la variable de entorno OCI_RESOURCE_PRINCIPAL_VERSION es 1, no se soporta la sustitución de región.

   Ejemplo:

   provider "oci" {
      auth = "ResourcePrincipal"
      region = var.region
   }

La autenticación de token de seguridad le permite ejecutar Terraform mediante un token generado con la autenticación basada en token para CLI. Para habilitar la autenticación de token de seguridad, actualice la definición del proveedor de la siguiente manera:

Por ejemplo:

# Configure the Oracle Cloud Infrastructure provider to use Security Token authentication
provider "oci" {
  auth = "SecurityToken"
  config_file_profile = "PROFILE"
  region = var.region
}

En Kubernetes, una carga de trabajo es una aplicación que se ejecuta en un cluster de Kubernetes. Una carga de trabajo puede ser un componente de aplicación que se ejecuta dentro de un único pod o varios componentes de aplicación que se ejecutan dentro de un juego de pods que funcionan conjuntamente. Todos los pods de la carga de trabajo se ejecutan en el mismo espacio de nombres.

En Oracle Cloud Infrastructure, una carga de trabajo que se ejecuta en un cluster de Kubernetes gestionado por Container Engine for Kubernetes (también conocido como OKE) se considera un recurso por derecho propio. Un recurso de carga de trabajo se identifica mediante la combinación única de cluster, espacio de nombres y cuenta de servicio de Kubernetes. Esta combinación única se denomina identidad de carga de trabajo.

La autenticación de identidad de carga de trabajo de OKE permite que las cargas de trabajo que se ejecutan en clusters de Kubernetes gestionados por Container Engine for Kubernetes accedan a otros recursos de Oracle Cloud Infrastructure. Para obtener más información, consulte Cómo otorgar acceso a las cargas de trabajo a los recursos de OCI.

Para activar la autenticación de identidad de carga de trabajo de OKE para los proveedores de Terraform de OCI, defina el atributo auth en "OKEWorkloadIdentity" en la definición del proveedor, como se muestra en el siguiente ejemplo:

variable "region" {}
provider "oci" {
   auth = "OKEWorkloadIdentity"
   region = var.region
}

Puede exportar los valores de autenticación necesarios como variables de entorno o extraerlos de diferentes perfiles bash al ejecutar comandos de Terraform.

Si trabaja principalmente en un solo compartimento, considere la exportación del compartimento como una variable de entorno. El OCID del arrendamiento también es el OCID del compartimento raíz y se puede utilizar cuando se necesite cualquier OCID de compartimento.

Ejemplo de exportación de UNIX y Linux

El siguiente ejemplo bash_profile de UNIX y Linux se aplica cuando la configuración de Terraform está limitada a un único compartimento o usuario.

export OCI_DEFAULT_CERTS_PATH=<certificates_path>
export TF_VAR_tenancy_ocid=<tenancy_OCID>
export TF_VAR_compartment_ocid=<compartment_OCID>
export TF_VAR_user_ocid=<user_OCID>
export TF_VAR_fingerprint=<key_fingerprint>
export TF_VAR_private_key_path=<private_key_path>
export TF_VAR_region=<region>
export USER_AGENT_PROVIDER_NAME=<custom_user_agent>
export OCI_SDK_APPEND_USER_AGENT=<custom_user_agent>
export TF_APPEND_USER_AGENT=<custom_user_agent>

Después de definir estos valores, abra un nuevo terminal u obtenga los cambios de perfil:

$ source ~/.bash_profile

Para entornos más complejos, considere mantener varios juegos de variables de entorno.

Ejemplo de exportación de Windows

Nota

Asegúrese de que el formato PEM para las claves. Consulte Cómo generar una clave de firma de API para obtener más información.

El siguiente ejemplo de Windows se aplica cuando la configuración de Terraform está limitada a un único compartimento o usuario.

setx OCI_DEFAULT_CERTS_PATH=<certificates_path>
setx TF_VAR_tenancy_ocid <tenancy_OCID>
setx TF_VAR_compartment_ocid <compartment_OCID>
setx TF_VAR_user_ocid <user_OCID>
setx TF_VAR_fingerprint <key_fingerprint>
setx TF_VAR_private_key_path <private_key_path>
setx TF_VAR_region=<region>
setx USER_AGENT_PROVIDER_NAME=<custom_user_agent>
setx OCI_SDK_APPEND_USER_AGENT=<custom_user_agent>
setx TF_APPEND_USER_AGENT=<custom_user_agent>

Después de configurar estos valores, salga y vuelva a abrir el terminal. (Las variables no están definidas para la sesión actual).

Para utilizar un agente de usuario personalizado, exporte una de las siguientes variables de entorno. Solo se considera una variable de entorno a la vez, siguiendo este orden de prioridad:

• USER_AGENT_PROVIDER_NAME
• OCI_SDK_APPEND_USER_AGENT
• TF_APPEND_USER_AGENT

Acceda de forma segura a los cubos de almacenamiento en Object Storage con puntos finales dedicados mediante el proveedor de Terraform de OCI. Al configurar el proveedor, utilice una variable de entorno, un parámetro en el bloque de proveedor o ambos. Si utiliza ambos, el parámetro de bloque de proveedor tiene prioridad.

La variable de entorno es OCI_REALM_SPECIFIC_SERVICE_ENDPOINT_TEMPLATE_ENABLED. El valor por defecto es false. Defina el valor en true para utilizar un punto final dedicado.

El parámetro de bloque de proveedor es realm_specific_service_endpoint_template_enabled. El valor por defecto es false. Defina el valor en true para utilizar un punto final dedicado.