amazon-web-services - Terraform 与 API-Gateway、Route53 和 SSL 认证相互依赖问题-6ren

amazon-web-services - Terraform 与 API-Gateway、Route53 和 SSL 认证相互依赖问题

转载作者：行者123 更新时间：2023-12-04 08:10:52

25

4

我似乎无法从 ACM 使用 terraform 在 API-Gateway、Route53 上获得 SSL 证书。似乎存在相互依赖的问题。

data "aws_route53_zone" "root_domain" {
  name         = "${var.route53_root_domain_name}"
  private_zone = false
}

# The domain name to use with api-gateway
resource "aws_api_gateway_domain_name" "domain_name" {
  domain_name = "${var.route53_sub_domain_name}"

  certificate_arn = "${aws_acm_certificate.cert.arn}"
}

resource "aws_route53_record" "sub_domain" {
  name    = "${var.route53_sub_domain_name}"
  type    = "A"
  zone_id = "${data.aws_route53_zone.root_domain.zone_id}"

  alias {
    name                   = "${aws_api_gateway_domain_name.domain_name.cloudfront_domain_name}"
    zone_id                = "${aws_api_gateway_domain_name.domain_name.cloudfront_zone_id}"
    evaluate_target_health = false
  }
}

resource "aws_acm_certificate" "cert" {
  # api-gateway / cloudfront certificates need to use the us-east-1 region
  provider          = "aws.cloudfront-acm-certs"
  domain_name       = "${var.route53_sub_domain_name}"
  validation_method = "DNS"

  lifecycle {
    create_before_destroy = true
  }
}

resource "aws_route53_record" "cert_validation" {
  name    = "${aws_acm_certificate.cert.domain_validation_options.0.resource_record_name}"
  type    = "${aws_acm_certificate.cert.domain_validation_options.0.resource_record_type}"
  zone_id = "${aws_route53_record.sub_domain.zone_id}"
  records = ["${aws_acm_certificate.cert.domain_validation_options.0.resource_record_value}"]
  ttl     = 60
}

resource "aws_acm_certificate_validation" "cert" {
  # api-gateway / cloudfront certificates need to use the us-east-1 region
  provider          = "aws.cloudfront-acm-certs"

  certificate_arn         = "${aws_acm_certificate.cert.arn}"
  validation_record_fqdns = ["${aws_route53_record.cert_validation.fqdn}"]
}

问题似乎是:

aws_api_gateway_domain_name 需要 aws_acm_certificate

aws_acm_certificate 必须经过验证，所以步骤 3

aws_route53_record.cert_validation 需要 aws_route53_record.sub_domain

aws_route53_record.subdomain 需要 aws_api_gateway_domain_name

转到 1

每次尝试使用给定的配置时，都会出现以下错误:

aws_api_gateway_domain_name.domain_name: Error creating API Gateway Domain Name: BadRequestException: Unable to associate certificate arn:aws:acm:us-east-1:yyyy:certificate/zzzz with CloudFront. This error may prevent the domain name audit-log.taspli.com from being used in API Gateway for up to 40 minutes. Please ensure the certificate domain name matches the requested domain name, and that this user has permission to call cloudfront:UpdateDistribution on '*' resources. status code: 400, request id: xxxx

最佳答案

我似乎通过将证书验证记录添加到根域而不是子域来解决问题。因此打破了循环依赖。

问题似乎是没有证书就不能创建子域，没有子域就不能验证证书。因此，情况陷入困境，无法解决。

您可以手动创建子域，但是如果您必须手动解决问题，那么自动化有什么意义。

所以我尝试将证书验证记录添加到根目录。突然它开始工作了，因为根域是在项目外部创建的。一种可以在外部处理的全局基础设施项目。然后，您的个人项目可以根据具体情况暂停该基础架构。

这是有效的terraform配置:

data "aws_route53_zone" "root_domain" {
  name         = "${var.route53_root_domain_name}"
  private_zone = false
}

# The domain name to use with api-gateway
resource "aws_api_gateway_domain_name" "domain_name" {
  domain_name = "${var.route53_sub_domain_name}"

  certificate_arn = "${aws_acm_certificate.cert.arn}"
}

resource "aws_route53_record" "sub_domain" {
  name    = "${var.route53_sub_domain_name}"
  type    = "A"
  zone_id = "${data.aws_route53_zone.root_domain.zone_id}"

  alias {
    name                   = "${aws_api_gateway_domain_name.domain_name.cloudfront_domain_name}"
    zone_id                = "${aws_api_gateway_domain_name.domain_name.cloudfront_zone_id}"
    evaluate_target_health = false
  }
}

resource "aws_acm_certificate" "cert" {
  # api-gateway / cloudfront certificates need to use the us-east-1 region
  provider          = "aws.cloudfront-acm-certs"
  domain_name       = "${var.route53_sub_domain_name}"
  validation_method = "DNS"
}

resource "aws_route53_record" "cert_validation" {
  name    = "${aws_acm_certificate.cert.domain_validation_options.0.resource_record_name}"
  type    = "${aws_acm_certificate.cert.domain_validation_options.0.resource_record_type}"
  zone_id = "${data.aws_route53_zone.root_domain.zone_id}"
  records = ["${aws_acm_certificate.cert.domain_validation_options.0.resource_record_value}"]
  ttl     = 60
}

resource "aws_acm_certificate_validation" "cert" {
  # api-gateway / cloudfront certificates need to use the us-east-1 region
  provider          = "aws.cloudfront-acm-certs"

  certificate_arn         = "${aws_acm_certificate.cert.arn}"
  validation_record_fqdns = ["${aws_route53_record.cert_validation.fqdn}"]

  timeouts {
    create = "45m"
  }
}

关于amazon-web-services - Terraform 与 API-Gateway、Route53 和 SSL 认证相互依赖问题，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/55031167/

25

4

0

文章推荐： javascript - Discord js/检查用户是否在特定的语音 channel 中

文章推荐： c++ - 查找 vector 数组中是否存在具有相同值的结构

C++ 相互 header 包含和前向声明
这个问题已经有答案了: Resolve build errors due to circular dependency amongst classes (12 个回答) 已关闭 3 个月前。如何允许
java - 多个组件 "linked"相互
让 2 个 Swing 部件做同样的工作是很常见的。例如，我们可以在工具栏中使用一个 button 作为“保存”按钮，而 JMenuItem (文件保存...)也可以做同样的事情。我的问题是: 有没
Android 相互 fragment 化
我使用 fragment 已经有一段时间了，但我经常遇到一个让我烦恼的问题。 fragment 有时会相互吸引。现在，我设法为此隔离了一个用例，它是这样的: Add fragment A(也使用 ad
WCF 相互 SSL 安全什么时候使用什么证书？
我正在使用具有相互 SSL 安全性的 WCF 服务，我想检查一下我对何时使用什么证书的理解。这是正确的吗？客户端将客户端公共(public)证书交给服务器服务器将服务器公共(public)证书交
security - 相互 SSL - 多少身份验证就足够了？
假设您有一个相互 SSL 服务，除了 SSL 之外，它还有应用程序身份验证。因此，客户端提供证书(以及服务器)，但客户端请求(例如 REST 请求)还包含后端应用程序服务器用于验证的用户名/密码。就
多个设备上的 Android UiAutomator，相互 react
有人让 Android uiautomator 可以同时在多个设备上运行，但做不同的事情吗？我的意思是，我希望我的测试同时启动设备和应用程序，然后设备 A 执行设备 B 必须使用react的操作。这
python - 相互 TLS 身份验证 - SSLV3_ALERT_UNSUPPORTED_CERTIFICATE
我目前正在尝试在客户端和服务器之间实现双向 TLS 身份验证。我遇到了一个 SSL 错误，它的描述性不强。 StackOverflow 也没有太多与之相关的问题，因为大多数时候它是互联网上的单向 TL
javascript - 多个 slider 相互 react
这里是新手。我正在做我的第一个元素，我想为不同的人(普通人、 worker 、农民等)提供 slider ，但我不知道如何放置多个 slider 以及如何让它们全部工作。我从 W3schools 获取
jquery - 如何阻止我的内部 div 相互 float
我创建了一张翻转卡片，但卡片内的所有 div 似乎都浮在彼此之上。我希望 div 彼此相邻。我看了很多问题，但似乎找不到答案。我尝试了多种显示:内联；职位:相对；向左飘浮;清除:两者；但我似乎无法让
jquery - 使多个 div 相互 float
我正在使用此控件来安排时间。我有一个单选按钮列表，然后是多个内容 Pane 。根据内容，我想在正确的控件中淡入淡出。但出于某种原因，在 div 上放置一个 float 并设置 z-index 并不能使
ssl - Wireshark 解密 SSL 相互
有什么方法可以解密双向 SSL(客户端和服务器，两种方式)？我找到了这个链接:https://www.wireshark.org/lists/wireshark-users/201001/msg00
security - 相互 SSL 与基于 token 的身份验证
我正在开发一个 Web 应用程序，安全性是我们在此应用程序中的主要关注点之一。我正在查看不同的 API 安全方法(在 OWASP 中提到)，无法理解相互 SSL 身份验证和基于 token 的身份验证
Kubernetes pod 无法使用 ClusterIP 相互 ping 通
我正在尝试使用分配给 kube-dns 服务的集群 IP 从 dnstools pod ping kube-dns 服务。 ping 请求超时。在同一个 dnstools pod 中，我尝试使用暴露的
c# - .NET 相互 SSL 握手 'Client Authentication'
过去几天我一直在研究这个问题，但我一无所获。场景是: 现场的 iOS 应用程序将调用我的 REST 服务 (.NET)。我的 REST 服务将使用相互 SSL 握手调用 Apache Web 服务。
java - 多个 JSlider 相互 react 始终等于 100%
我正在尝试向 java swing 应用程序添加 3 个 JSlider，以便三个 slider 的总值(value)总和为 100。每个 slider 都是一个概率， slider A 是将值添加到
java - 相互 SSL - 使用 java 作为客户端时，客户端证书链为空
我们正在使用 java 客户端(openJDK 1.8.0) 调用需要相互身份验证的 api。为此，我们使用 Java 标准 JKS 文件作为 keystore 和信任库(包含信任证书和身份证书/私钥
java - 相互 SSL : unsupported_certificate and client certificate format
有人告诉我使用双向身份验证连接到客户的服务器。服务器身份验证工作顺利，但我们在获取客户端身份验证方面遇到了巨大的麻烦。让我试着解释一下我们的麻烦。前段时间我公司在 GeoTrust 购买了一个证书，
authentication - Paw - 支持 https 相互(客户端证书)身份验证？
正在试用 PAW 并且非常喜欢它。我唯一无法正常工作的是使用 HTTPS 相互身份验证。我需要与之交互的一些 API 需要相互验证的 https。如何告诉 PAW 使用证书进行身份验证？该证书已经在
spring - cxf 相互 SSL 配置外部化 key 和密码以使用 JNDI
我们有一个在 Jboss EAP 5.1 中部署并使用 Spring 2.5 已经运行了一年多的 CXF webservice 我们现有的客户证书管理策略如下: 对于非 PROD，证书名为“NAME-
c# - 相互 SSL 身份验证 - sslstream 中的本地证书返回 'null' 而不是客户端上的证书
我正在创建一个将调用 API 的 Windows 服务。对于这个过程，我正在尝试建立相互(双向)SSL 身份验证。因为我是新手。我尝试实现一个简单的客户端和服务器项目，它们将相互进行身份验证。我已经

首页

博学

6Ren·AI

商城