Главная Amazon Web Services Terraform настаивает на смене сертификата ACM
СтатьиЯзыки программированияБазы данныхСистемы контроля версийJavascript фреймворкиБэкэнд фреймворкиПакетные менеджерыГенераторы статических сайтовПрепроцессоры CSS

Terraform настаивает на смене сертификата ACM

У меня есть установка Terraform, которая предоставляет необходимые ресурсы для обслуживания веб-сервера, размещенного на AWS.

Когда я ничего не меняю локально в файлах .tf и просто ввожу Terraform Plan, Terraform настаивает на изменении сертификата SSL:

Terraform used the selected providers to generate the following
execution plan. Resource actions are indicated with the following
symbols:
  ~ update in-place

Terraform will perform the following actions:

  # aws_acm_certificate.resume-app-cert will be updated in-place
  ~ resource "aws_acm_certificate" "resume-app-cert" {
        id                        = "arn:aws:acm:us-east-1:**redacted**"
        tags                      = {
            "Name" = "resume-app-ssl-cert"
        }
        # (15 unchanged attributes hidden)

        # (1 unchanged block hidden)
    }

Plan: 0 to add, 1 to change, 0 to destroy.

Файл ACM.tf выглядит следующим образом:

resource "aws_acm_certificate" "resume-app-cert" {
  domain_name       = var.domain_name
  validation_method = "DNS"

  subject_alternative_names = [var.wildcard_domain_name]

  tags = {
    Name = var.aws_certificate_name
  }
}

resource "aws_acm_certificate_validation" "resume-app-cert" {
  certificate_arn         = aws_acm_certificate.resume-app-cert.arn
  validation_record_fqdns = [for record in aws_route53_record.cname-validation : record.fqdn]
}

Переменные содержат следующие значения:

var.domain_name = redacted.com
var.wildcard_domain_name = *.redacted.com

Я видел пару сообщений в Stack и разных местах, предлагающих исправление, но мне кажется, что это исправление уже реализовано в моей конфигурации, а точнее, что SAN не должен включать имя корневого домена, например:

subject_alternative_names = [var.domain_name, var.wildcard_domain_name]

Вот ссылка на предполагаемое исправление, которое, похоже, у меня не работает: Terraform принудительно заменяет «aws_acm_certificate» на несколько «subject_alternative_names»

По сути, я ожидаю, что запуск Terraform Plan без каких-либо изменений не будет пытаться заменить сертификат SSL.

[РЕШЕНО]Перейти к решению
Assaf, 19 июня 2024 г., 21:48
66
1
Amazon web services22337 вопросовTerraform2932 вопросаTerraform provider aws626 вопросовAws acm3 вопроса

Ответ:

Решено

Мне удалось решить эту проблему, я считаю, что есть две вещи:

  1. Обновление Терраформа. Я использовал 1.5.7 и обновился до 1.8.5.
  2. Следуя этой теме: Terraform принудительно заменяет «aws_acm_certificate» на несколько «subject_alternative_names»

Это не обязательно желаемое поведение, но теперь, когда я запускаю tf plan, я получаю:

No changes. Your infrastructure matches the configuration.

Terraform has compared your real infrastructure against your configuration and found no differences, so no changes are needed.
Assaf, 21 июня 2024 г., 08:38

Интересные вопросы для изучения

Amazon Neptune OpenCypher. В чем причина сообщения «Операция завершена (внутренняя ошибка)» при использовании SET после MERGE?Как настроить AWS CloudFront для кэширования ответов на основе значения заголовка хоста?AWS CDK CodePipeline без Synth/ShellStepИспользование учетных данных AWS от поставщика OIDC внутри контейнера DockerКлонировать образ Docker с другим тегом/шаTerraform Kubernetes NGINX Ingress — правила хоста не возвращают 504 (время ожидания шлюза)Как Azure создает виртуальные машины из обобщенных образов с дисками данных в terraformПопытка проанализировать входной файл JSON через terraformПодключите службу электронной почты Azure к службе связи Azure с помощью TerraformОшибка Terraform 403 для учетной записи хранения с ограниченным доступом