プロバイダの構成

デフォルトでは、TerraformプロバイダはAPIキー認証を使用しますが、これを明示的に指定するには、プロバイダ定義でauth属性を"APIKey"に設定します。APIキー認証を使用してOCIをコールするには、次の資格証明を指定する必要があります:

• tenancy_ocid - テナンシのOCID。値を取得するには、テナンシのOCIDとユーザーのOCIDを取得する場所を参照してください。
• user_ocid - APIをコールするユーザーのOCID。値を取得するには、テナンシのOCIDとユーザーのOCIDを取得する場所を参照してください。
• private_key - 秘密キー・ファイルの内容。private_key_pathが定義されていない場合は必須で、両方が定義されている場合はprivate_key_pathよりも優先されます。キーの作成および構成方法の詳細は、API署名キーの生成方法および公開キーのアップロード方法を参照してください。
• private_key_path - コンピュータに格納されている秘密キーのパス(ファイル名を含む)。private_keyが定義されていない場合は必須です。キーの作成および構成方法の詳細は、API署名キーの生成方法および公開キーのアップロード方法を参照してください。
• private_key_password - (オプション)キーに使用されるパスフレーズ(キーが暗号化されている場合)。
• fingerprint - 使用されているキー・ペアのフィンガープリント。値を取得するには、キーのフィンガープリントの取得方法を参照してください。
• region - OCIリージョン。リージョンおよび可用性ドメインを参照してください。
• config_file_profile - プロファイル名(OCI構成ファイルのカスタム・プロファイルを使用して認証資格証明を指定する場合)。詳細は、SDKおよびCLIの構成ファイルの使用を参照してください。

たとえば、これらの値を環境変数として、またはTerraform構成変数内に指定します。

インスタンス・プリンシパル認可を使用すると、プロバイダは、プロバイダ定義のtenancy_ocid、user_ocid、private_key_pathおよびfingerprint属性を必要とすることなく、OCIコンピュート・インスタンスからAPIコールを行うことができます。

OCI Terraformプロバイダのインスタンス・プリンシパル認可を有効にするには、次の例に示すように、プロバイダ定義でauth属性にInstancePrincipalを設定します:

variable "region" {}

provider "oci" {
   auth = "InstancePrincipal"
   region = var.region
}

詳細は、インスタンスからのサービスのコールを参照してください。

インスタンス・プリンシパル認可などのリソース・プリンシパル認可では、プロバイダ定義内で資格証明を指定せずに、プロバイダがAPIコールを実行できます。リソース・プリンシパル認可を使用すると、実行中のファンクションなどのリソースが他のOracle Cloud Infrastructureリソースにアクセスできます。詳細は、実行しているファンクションからの他のOracle Cloud Infrastructureリソースへのアクセスを参照してください。

OCI Terraformプロバイダのリソース・プリンシパル認可を有効にするには:

1. 実行中のファンクションで他のOCIリソースを管理するために必要な動的グループおよびポリシーを作成します。「ファンクションの実行からの他のOracle Cloud Infrastructureリソースへのアクセス」のコンソールの使用の手順に従い、ポリシーで他のリソースの管理が許可されていることを確認します。

2. 次の環境変数を設定します:

   • OCI_RESOURCE_PRINCIPAL_VERSION: 値2.2が含まれます。

     値が1の場合、リージョンのオーバーライドはサポートされていません。

   • OCI_RESOURCE_PRINCIPAL_RPST: rpstファイルのRAWコンテンツ、またはrpstファイルへの絶対パスを含みます(ファイル名を含む)。

   • OCI_RESOURCE_PRINCIPAL_PRIVATE_PEM: private.pemファイルへの絶対パスを含みます(ファイル名を含む)。

   • OCI_RESOURCE_PRINCIPAL_REGION: プロバイダがデプロイされるリージョン識別子を含みます(たとえば、us-phoenix-1)。

3. プロバイダ定義でauth属性を"ResourcePrincipal"に設定します。

   ノート
   
   

   プロバイダ・ブロック内のregionの値は、環境変数OCI_RESOURCE_PRINCIPAL_REGIONで設定されたリージョン値をオーバーライドします。Terraform Providerバージョン5.0.0で導入されたこの変更は、下位互換性がありません。

   OCI_RESOURCE_PRINCIPAL_VERSION環境変数の値が1の場合、リージョンのオーバーライドはサポートされていません。

   例:

   provider "oci" {
      auth = "ResourcePrincipal"
      region = var.region
   }

セキュリティ・トークン認証によって、CLIでのトークンベースの認証で生成されたトークンを使用してTerraformを実行できます。セキュリティ・トークン認証を有効にするには、次のようにプロバイダ定義を更新します:

例:

# Configure the Oracle Cloud Infrastructure provider to use Security Token authentication
provider "oci" {
  auth = "SecurityToken"
  config_file_profile = "PROFILE"
  region = var.region
}

Kubernetesでは、ワークロードはKubernetesクラスタで実行されているアプリケーションです。ワークロードには、1つのポッド内で1つのアプリケーション・コンポーネントを実行することも、1つのポッドのセット内で複数のアプリケーション・コンポーネントを実行することもできます。ワークロード内のすべてのポッドは同じネームスペースで実行されます。

Oracle Cloud Infrastructureでは、Container Engine for Kubernetes (OKEとも呼ばれる)によって管理されるKubernetesクラスタで実行されているワークロードは、それ自体がリソースと見なされます。ワークロード・リソースは、Kubernetesクラスタ、ネームスペースおよびサービス・アカウントの一意の組合せによって識別されます。この一意の組合せは、ワークロード・アイデンティティと呼ばれます。

OKEワークロード・アイデンティティ認証では、Container Engine for Kubernetesによって管理されるKubernetesクラスタで実行されているワークロードが、他のOracle Cloud Infrastructureリソースにアクセスできます。詳細は、「ワークロードのOCIリソースへのアクセス権の付与」を参照してください。

OCI TerraformプロバイダのOKEワークロード・アイデンティティ認証を有効にするには、次の例に示すように、プロバイダ定義でauth属性にOKEWorkloadIdentityを設定します:

variable "region" {}
provider "oci" {
   auth = "OKEWorkloadIdentity"
   region = var.region
}

環境変数として必要な認証値をエクスポートするか、Terraformコマンドの実行時に様々なbashプロファイルでそれらをソース指定できます。

主に単一のコンパートメントで動作する場合は、環境変数としてコンパートメントOCIDをエクスポートすることを検討してください。テナンシOCIDは、ルート・コンパートメントのOCIDでもあり、任意のコンパートメントOCIDが必要な場合に使用できます。

UNIXおよびLinuxのエクスポートの例

次のUNIXおよびLinuxのbash_profileの例は、Terraform構成が単一のコンパートメントまたはユーザーに制限されている場合に適用されます。

export OCI_DEFAULT_CERTS_PATH=<certificates_path>
export TF_VAR_tenancy_ocid=<tenancy_OCID>
export TF_VAR_compartment_ocid=<compartment_OCID>
export TF_VAR_user_ocid=<user_OCID>
export TF_VAR_fingerprint=<key_fingerprint>
export TF_VAR_private_key_path=<private_key_path>
export TF_VAR_region=<region>
export USER_AGENT_PROVIDER_NAME=<custom_user_agent>
export OCI_SDK_APPEND_USER_AGENT=<custom_user_agent>
export TF_APPEND_USER_AGENT=<custom_user_agent>

これらの値を設定したら、新しい端末を開くか、プロファイル変更をソースします。

$ source ~/.bash_profile

より複雑な環境では、複数の環境変数のセットを保持することを検討してください。

Windowsエクスポートの例

ノート

キーのPEMフォーマットを確認してください。詳細は、API署名キーの生成方法を参照してください。

次のWindowsの例は、Terraform構成が単一のコンパートメントまたはユーザーに制限されている場合に適用されます。

setx OCI_DEFAULT_CERTS_PATH=<certificates_path>
setx TF_VAR_tenancy_ocid <tenancy_OCID>
setx TF_VAR_compartment_ocid <compartment_OCID>
setx TF_VAR_user_ocid <user_OCID>
setx TF_VAR_fingerprint <key_fingerprint>
setx TF_VAR_private_key_path <private_key_path>
setx TF_VAR_region=<region>
setx USER_AGENT_PROVIDER_NAME=<custom_user_agent>
setx OCI_SDK_APPEND_USER_AGENT=<custom_user_agent>
setx TF_APPEND_USER_AGENT=<custom_user_agent>

これらの値を設定したら、端末を終了して再度開きます。(変数は、現在のセッションには設定されません。)

カスタム・ユーザー・エージェントを使用するには、次のいずれかの環境変数をエクスポートします。この優先順位に従って、一度に考慮される環境変数は1つだけです。

• USER_AGENT_PROVIDER_NAME
• OCI_SDK_APPEND_USER_AGENT
• TF_APPEND_USER_AGENT

OCI Terraformプロバイダを使用して、専用エンドポイントでオブジェクト・ストレージのストレージ・バケットにセキュアにアクセスします。プロバイダを構成する場合は、環境変数、プロバイダ・ブロック内のパラメータ、またはその両方を使用します。両方を使用する場合、プロバイダ・ブロック・パラメータが優先されます。

環境変数はOCI_REALM_SPECIFIC_SERVICE_ENDPOINT_TEMPLATE_ENABLEDです。デフォルトはfalseです。専用エンドポイントを使用するには、値をtrueに設定します。

プロバイダ・ブロック・パラメータはrealm_specific_service_endpoint_template_enabledです。デフォルトはfalseです。専用エンドポイントを使用するには、値をtrueに設定します。