azure - 如何告诉 terraform 它应该尝试删除软删除的 azure keyvault key (如果存在)？

Question

默认情况下，Azure 对所有 keyvault key 强制执行清除保护，这在使用 terraform 时会引起一些麻烦。特别是，这可能会遇到这样的情况:您使用磁盘加密 key 删除了虚拟机，因此 terraform 也从 keystore 中删除了磁盘加密 key 。

如果稍后您尝试重新创建该虚拟机(当然，您使用相同的加密 key 名称，因为它基于虚拟机名称)，则创建过程将始终失败

azurerm_key_vault_key.disk_encryption[5]: Creating...
╷
│ Error: Creating Key: keyvault.BaseClient#CreateKey: Failure responding to request: StatusCode=409 -- Original Error: autorest/azure: Service returned an error. Status=409 Code="Conflict" Message="Key vmname-custom-disk-encryption is currently in a deleted but recoverable state, and its name cannot be reused; in this state, the key can only be recovered or purged." InnerError={"code":"ObjectIsDeletedButRecoverable"}
│ 
│   with azurerm_key_vault_key.disk_encryption[5],
│   on encryption.tf line 12, in resource "azurerm_key_vault_key" "disk_encryption":
│   12: resource "azurerm_key_vault_key" "disk_encryption" {

如果在这种情况下，terraform 只是在就地修改之前恢复有问题的 key ，那么这个问题很容易解决。

有没有办法做到这一点，或者以其他方式解决这个问题？

是的，我知道理论上我可以创建一个具有不同名称的虚拟机，但在本例中，我使用 terraform count 并使用 创建一个虚拟机作为集群的一部分VM 名称中的 count.index。我通过测试是否可以从集群中删除虚拟机节点然后重新添加它们来遇到这个问题，但由于它们保持相同的名称，我遇到了可恢复的 key terraform 似乎无法处理。

编辑:通过反复试验，我发现了以下内容。

如果我将以下内容放入我的 azurerm 提供程序

provider "azurerm" {
  features {
    key_vault {
      purge_soft_delete_on_destroy = false
    }
  }
}

我报告的问题将会发生。当发现软删除时， key 不会自动恢复。

但是如果我改为

provider "azurerm" {
  features {}
}

然后 key 将被恢复并重新使用，没有问题，但是 terraform 在销毁时会失败，因为它也会尝试清除它!

│ Error: purging of Key "vmname-custom-disk-encryption" (Key Vault "https://keyvaultname.vault.azure.net/") : keyvault.BaseClient#PurgeDeletedKey: Failure responding to request: StatusCode=403 -- Original Error: autorest/azure: Service returned an error. Status=403 Code="Forbidden" Message="Operation \"purge\" is not allowed because purge protection is enabled for this vault. Key Vault service will automatically purge it after 
the retention period has passed.\r\nVault: keyvaultname;location=westeurope"

我将打开一个错误报告，因为这对我来说似乎是一个错误(为什么purge_soft_delete_on_destroy = false会阻止 key 恢复？)但我很好奇是否有人有解决方法。

Answer 1

这是一种解决方法，而不是答案，但它可能对其他人有帮助:

如果您将以下内容放入 azurerm 提供程序

provider "azurerm" {
  features {
    key_vault {
      purge_soft_delete_on_destroy = false
    }
  }
}

我报告的问题将会发生。当发现软删除时， key 不会自动恢复。

但是如果你改为

provider "azurerm" {
  features {}
}

然后 key 将被恢复并重新使用，没有问题，但是 terraform 在销毁时会失败，因为它也会尝试清除它!

│ Error: purging of Key "vmname-custom-disk-encryption" (Key Vault "https://keyvaultname.vault.azure.net/") : keyvault.BaseClient#PurgeDeletedKey: Failure responding to request: StatusCode=403 -- Original Error: autorest/azure: Service returned an error. Status=403 Code="Forbidden" Message="Operation \"purge\" is not allowed because purge protection is enabled for this vault. Key Vault service will automatically purge it after 
the retention period has passed.\r\nVault: keyvaultname;location=westeurope"

使用第二种方法，您可以忽略失败的销毁错误。下一次销毁运行应该不会出现问题(因为此时什么都不存在)

I have opened a bug report for terraform azurerm provider about this