Terraform 0.11

aws_acmpca_certificate_authority




terraform

aws_acmpca_certificate_authority

AWS प्रमाणपत्र प्रबंधक निजी प्रमाणपत्र प्राधिकारी (ACM PCA प्रमाणपत्र प्राधिकारी) को प्रबंधित करने के लिए एक संसाधन प्रदान करता है।

उदाहरण उपयोग

बुनियादी

resource "aws_acmpca_certificate_authority" "example" {
  certificate_authority_configuration {
    key_algorithm     = "RSA_4096"
    signing_algorithm = "SHA512WITHRSA"

    subject {
      common_name = "example.com"
    }
  }
}

प्रमाणपत्र निरस्तीकरण सूची सक्षम करें

resource "aws_s3_bucket" "example" {
  bucket = "example"
}

data "aws_iam_policy_document" "acmpca_bucket_access" {
  statement {
    actions = [
      "s3:GetBucketAcl",
      "s3:GetBucketLocation",
      "s3:PutObject",
      "s3:PutObjectAcl",
    ]

    resources = [
      "${aws_s3_bucket.example.arn}",
      "${aws_s3_bucket.example.arn}/*",
    ]

    principals {
      identifiers = ["acm-pca.amazonaws.com"]
      type        = "Service"
    }
  }
}

resource "aws_s3_bucket_policy" "example" {
  bucket = "${aws_s3_bucket.example.id}"
  policy = "${data.aws_iam_policy_document.acmpca_bucket_access.json}"
}

resource "aws_acmpca_certificate_authority" "example" {
  certificate_authority_configuration {
    key_algorithm     = "RSA_4096"
    signing_algorithm = "SHA512WITHRSA"

    subject {
      common_name = "example.com"
    }
  }

  revocation_configuration {
    crl_configuration {
      custom_cname       = "crl.example.com"
      enabled            = true
      expiration_in_days = 7
      s3_bucket_name     = "${aws_s3_bucket.example.name}"
    }
  }

  depends_on = ["aws_s3_bucket_policy.example"]
}

तर्क संदर्भ

निम्नलिखित तर्क समर्थित हैं:

  • certificate_authority_configuration - (आवश्यक) एल्गोरिदम और प्रमाणपत्र विषय जानकारी युक्त नेस्टेड तर्क। नीचे परिभाषित किया गया।
  • enabled - (वैकल्पिक) प्रमाणपत्र प्राधिकारी सक्षम या अक्षम है या नहीं। true अवहेलना।
  • revocation_configuration - (वैकल्पिक) निरसन विन्यास युक्त निहित तर्क। नीचे परिभाषित किया गया।
  • tags - (वैकल्पिक) प्रमाणपत्र प्राधिकारी से जुड़े उपयोगकर्ता-परिभाषित टैग का एक मुख्य-मूल्य मानचित्र निर्दिष्ट करता है।
  • type - (वैकल्पिक) प्रमाण पत्र प्राधिकरण का प्रकार। वर्तमान में, यह आवश्यक होना चाहिए।

certificate_authority_configuration

  • key_algorithm - (आवश्यक) सार्वजनिक कुंजी एल्गोरिथ्म का प्रकार और बिट्स में, कुंजी जोड़ी का वह key_algorithm जो आपकी कुंजी जोड़ी तब बनाती है जब वह प्रमाणपत्र जारी करती है। मान्य मान ACM PCA प्रलेखन में पाए जा सकते हैं।
  • signing_algorithm - (आवश्यक) उस एल्गोरिथ्म का नाम जो आपके निजी CA प्रमाणपत्र अनुरोधों पर हस्ताक्षर करने के लिए उपयोग करता है। मान्य मान ACM PCA प्रलेखन में पाए जा सकते हैं।
  • subject - (आवश्यक) नेस्टेड तर्क जिसमें X.500 प्रतिष्ठित नाम की जानकारी है। कम से कम एक नेस्टेड विशेषता निर्दिष्ट की जानी चाहिए।

विषय

प्रमाणपत्र विषय के बारे में जानकारी शामिल है। प्रमाण पत्र में सार्वजनिक कुंजी को नियंत्रित या नियंत्रित करने वाली इकाई की पहचान करता है। इकाई एक उपयोगकर्ता, कंप्यूटर, डिवाइस या सेवा हो सकती है।

  • common_name - (वैकल्पिक) प्रमाणपत्र विषय से संबद्ध पूरी तरह से योग्य डोमेन नाम (FQDN)।
  • country - (वैकल्पिक) दो अंकों का कोड जो उस देश को निर्दिष्ट करता है जिसमें प्रमाणपत्र विषय स्थित है।
  • diff__name_qualifier - (वैकल्पिक) प्रमाण पत्र विषय के लिए जानकारी का निराकरण।
  • generation_qualifier - (वैकल्पिक) आमतौर पर एक व्यक्ति के नाम के लिए अर्हता प्राप्त की जाती है। उदाहरणों में जूनियर के लिए जूनियर, सीनियर के लिए सीनियर और तीसरे के लिए तृतीय शामिल हैं।
  • given_name - (वैकल्पिक) पहला नाम।
  • initials - (वैकल्पिक) given_name जिसमें आम तौर पर दिए given_name का पहला अक्षर, मध्य नाम का पहला अक्षर यदि कोई मौजूद है, और surname का पहला अक्षर है।
  • locality - (वैकल्पिक) स्थानीयता (जैसे शहर या कस्बा) जिसमें प्रमाणपत्र विषय स्थित हो।
  • organization - (वैकल्पिक) उस संगठन का कानूनी नाम जिसके साथ प्रमाणपत्र विषय संबद्ध है।
  • organizational_unit - (वैकल्पिक) organizational_unit एक उपखंड या इकाई (जैसे बिक्री या वित्त) जिसके साथ प्रमाणपत्र विषय संबद्ध है।
  • pseudonym - (वैकल्पिक) आमतौर पर given_name का छोटा संस्करण। उदाहरण के लिए, जॉन के लिए जोनाथन को अक्सर छोटा किया जाता है। एलिजाबेथ को अक्सर बेथ, लिज़ या एलिजा में छोटा किया जाता है।
  • state - (वैकल्पिक) वह राज्य जिसमें प्रमाण पत्र का विषय स्थित है।
  • surname - (वैकल्पिक) परिवार का नाम। उदाहरण के लिए अमेरिका और यूके में, किसी व्यक्ति का उपनाम अंतिम आदेश दिया जाता है। एशियाई संस्कृतियों में उपनाम आमतौर पर पहले आदेश दिया जाता है।
  • title - (ऑप्शनल) एक शीर्षक जैसे कि मिस्टर या मिस जो सर्टिफिकेट विषय को औपचारिक रूप से संदर्भित करने के लिए नाम से पूर्व-लंबित है।

revocation_configuration

  • crl_configuration - (वैकल्पिक) प्रमाणपत्र निरस्तीकरण सूची (CRL) के कॉन्फ़िगरेशन वाले crl_configuration तर्क, यदि कोई हो, तो प्रमाण पत्र प्राधिकरण द्वारा बनाए रखा जाता है। नीचे परिभाषित किया गया।

crl_configuration

  • custom_cname - (वैकल्पिक) प्रमाणपत्र CRL वितरण बिंदु एक्सटेंशन में डाला गया नाम, जो CRL वितरण बिंदु के लिए अन्य नाम का उपयोग करने में सक्षम बनाता है। यदि आप अपने S3 बाल्टी का नाम सार्वजनिक नहीं करना चाहते हैं, तो इस मान का उपयोग करें।
  • enabled - (वैकल्पिक) बूलियन मान जो यह निर्दिष्ट करता है कि प्रमाणपत्र निरस्तीकरण सूची (CRLs) सक्षम हैं या नहीं। false अवहेलना करता false
  • expiration_in_days - (आवश्यक) जब तक एक प्रमाण पत्र की समय सीमा समाप्त नहीं हो जाती। 1 से 5000 के बीच होना चाहिए।
  • s3_bucket_name - (वैकल्पिक) S3 बाल्टी का नाम जिसमें CRL s3_bucket_name । यदि आप custom_cname तर्क के लिए कोई मान प्रदान नहीं करते हैं, तो आपके S3 बाल्टी का नाम जारी प्रमाण पत्र के CRL वितरण अंक एक्सटेंशन में रखा गया है। आपको एक बकेट नीति निर्दिष्ट करनी होगी जो ACM PCA को आपकी बाल्टी में CRL लिखने की अनुमति देती है।

गुण का संदर्भ

उपरोक्त सभी तर्कों के अलावा, निम्नलिखित विशेषताएँ निर्यात की जाती हैं:

  • id - प्रमाणपत्र प्राधिकारी का अमेज़ॅन संसाधन नाम (ARN)।
  • arn - प्रमाण पत्र प्राधिकारी का अमेज़न संसाधन नाम (ARN)।
  • certificate - Base64- एन्कोडेड प्रमाणपत्र प्राधिकारी (CA) प्रमाण पत्र। प्रमाणपत्र प्राधिकारी प्रमाणपत्र आयात होने के बाद ही उपलब्ध है।
  • certificate_chain - Base64- इनकोडेड सर्टिफिकेट चेन जिसमें किसी भी मध्यवर्ती प्रमाण पत्र और मूल ऑन-प्रिमाइसेस प्रमाण-पत्र तक की चेन शामिल होती है, जिसे आप अपने निजी CA प्रमाणपत्र पर हस्ताक्षर करने के लिए उपयोग करते थे। श्रृंखला में आपका निजी CA प्रमाणपत्र शामिल नहीं है। प्रमाणपत्र प्राधिकारी प्रमाणपत्र आयात होने के बाद ही उपलब्ध है।
  • certificate_signing_request - आपके निजी CA प्रमाणपत्र के लिए आधार 64 PEM- एन्कोडेड प्रमाणपत्र हस्ताक्षर अनुरोध (CSR)।
  • not_after - दिनांक और समय जिसके बाद प्रमाणपत्र प्राधिकारी मान्य नहीं है। प्रमाणपत्र प्राधिकारी प्रमाणपत्र आयात होने के बाद ही उपलब्ध है।
  • not_before - वह दिनांक और समय जिसके पहले प्रमाणपत्र प्राधिकारी मान्य नहीं है। प्रमाणपत्र प्राधिकारी प्रमाणपत्र आयात होने के बाद ही उपलब्ध है।
  • serial - प्रमाण पत्र प्राधिकरण की क्रमांक संख्या। प्रमाणपत्र प्राधिकारी प्रमाणपत्र आयात होने के बाद ही उपलब्ध है।
  • status - प्रमाण पत्र प्राधिकरण की स्थिति।

समय समाप्ति

aws_acmpca_certificate_authority निम्नलिखित aws_acmpca_certificate_authority कॉन्फ़िगरेशन विकल्प प्रदान करता है:

  • create - (default 1m ) सर्टिफिकेट अथॉरिटी बनने के लिए कितने समय तक इंतजार करना होगा।

आयात

aws_acmpca_certificate_authority को सर्टिफिकेट अथॉरिटी अमेजन रिसोर्स नेम (ARN) के जरिए इम्पोर्ट किया जा सकता है।

$ terraform import aws_acmpca_certificate_authority.example arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012