2021年8月20日

Terraformを使用して、EC2のキーペアを作成する

今回はTerraformでEC2のキーペアを作成し、それを使用してEC2を作成していきます。

キーペアの作成

まずは、Terraformでキーペアを作成していきます。
通常、キーペアを作成するためには、ssh-keygenコマンドを利用しますが、terraformではtlsプロバイダの一つである、tls_private_keyリソースを利用することでキーペアを作成することが可能です。
下記でRSA暗号、4096ビットの秘密鍵/公開鍵のペアを作成します。

1
resource "tls_private_key" "main" {
2
    algorithm = "RSA"
3
    rsa_bits = 4096
4
}

これで秘密鍵、公開鍵のペアが作成されるため、以下のように利用します。
AWSのキーペアは公開鍵をopenssh形式で登録する必要があるので、３つめを利用します。

1
# 秘密鍵（PEMフォーマット）
2
tls_private_key.main.private_key_pem
3

4
# 公開鍵（PEMフォーマット）
5
tls_private_key.main.public_key_pem
6

7
# 公開鍵（OPENSSHフォーマット）
8
tls_private_key.main.public_key_openssh

作成したキーペアをaws_key_pairリソースで、キーペアとして登録します。

1
resource "aws_key_pair" "main" {
2
    key_name = "ec2-keypair"
3
    public_key = tls_private_key.main.public_key_openssh
4

5
    tags = {
6
        Name = "ec2-keypair"
7
    }
8
}

キーペアをローカルファイルに保存

ちなみに、キーペアをファイルとして保存したい場合は、localプロバイダを利用することでローカルにファイルとして保存できます。
以下は、modules/ec2配下に秘密鍵、公開鍵を保存する例です。

1
resource "local_file" "keypair_pem" {
2
    filename = "${path.module}/keypair.pem"
3
    sensitive_content = tls_private_key.main.private_key_pem
4
    file_permission = "0600" # 秘密鍵は権限を0600に変更する。
5
}
6

7
resource "local_file" "keypair_pub" {
8
    filename = "${path.module}/keypair.pub"
9
    sensitive_content = tls_private_key.main.public_key_openssh
10
    file_permission = "0600" # 公開鍵も権限を0600に変更する。（必須ではない。）
11
}

EC2作成時のキーペア反映

ここまででキーペアを作成したので、あとはEC2インスタンス作成時にキーペアを指定するだけです。
せっかくなので、VPCとサブネットを作成してEC2インスタンスを配置します。
aws_instanceリソースのkey_nameを作成したキーペアを指定してあげればOKです。

1
resource "aws_vpc" "sample-vpc" {
2
  cidr_block = "172.16.0.0/16"
3

4
  tags = {
5
    Name = "sample-vpc"
6
  }
7
}
8

9
resource "aws_subnet" "sample-subnet" {
10
  vpc_id            = aws_vpc.sample-vpc.id
11
  cidr_block        = "172.16.10.0/24"
12
  availability_zone = "ap-northeast-1a"
13

14
  tags = {
15
    Name = "sample-subnet"
16
  }
17
}
18

19
resource "aws_instance" "main" {
20
    ami = data.aws_ssm_parameter.amazonlinux.value
21
    instance_type = "t2.nano"
22

23
    key_name = aws_key_pair.main.key_name
24

25
    subnet_id = aws_subnet.sample-subnet.id
26

27
    tags = {
28
        Name = "sample-instance"
29
    }
30
}

ちなみに最新版のAmazonLinux AMIを取得するためには、以下の通りaws_ssm_parameterのdataとして取得してあげればOKです。

1
data "aws_ssm_parameter" "amazonlinux" {
2
  name = "/aws/service/ami-amazon-linux-latest/amzn2-ami-hvm-x86_64-gp2"
3
}