你需要知道的关于 Terraform ephemeral resources 的一切

关于 Terraform 的 Ephemeral Resources，你需要知道的一切

发布于 2025 年 2 月 5 日，星期三

TL;DR: Terraform v1.10 的 ephemeral resources 是不会持久化到 state/plan 文件中的临时资源。它们只在执行期间存在，非常适合处理 secrets、动态 token 或任何不应被存储的数据。目前已由 Infisical、AWS、Azure、GCP 和 Kubernetes provider 支持。

无论你是使用 Terraform 管理云基础设施还是本地资源，很可能都遇到过如何安全管理 secrets 的挑战。诸如私钥、证书和 API token 之类的 secrets，对于运行你的基础设施至关重要——无论是与云 provider 进行身份验证、访问受保护资源，还是在服务之间建立安全连接。

直到现在，Terraform 中的这些 secrets 一直以明文形式存储在 plan 和 state 文件中；如果这些文件被泄露或意外暴露，就会带来严重的安全风险。

Ephemeral resources， 是 Terraform v1.10 中引入的一个新概念，旨在解决这些安全问题。顾名思义，它们永远不会存储在任何 artifact 中，解决了 secret 值以明文形式持久化这一长期存在的问题，并减少了你的攻击面。

虽然目前只有少数 provider 支持这一特性，包括 Infisical，但它代表着基础设施安全向前迈出的重要一步。

让我们来了解这一重要的安全进展，并通过一个实用示例帮助你增强安全态势。

什么是 Ephemeral Resources？

Ephemeral resources 是在 Terraform v1.10 中引入的临时 Terraform 管理实体。与标准 resource 或 data source 不同，它们永远不会被持久化到 Terraform state 文件中，因此非常适合处理 secrets、临时凭证或动态 token 等敏感或短生命周期数据。实际上，有两种语言结构可以是“ephemeral”：

• Ephemeral resources: 这是一种新的 resource block，用于声明某些内容需要在每个 Terraform 阶段分别创建或获取，然后用于配置其他 ephemeral 对象，并在该阶段结束前显式关闭。
• Ephemeral input 和 output variables: 当某个 variable 或 output 被标记为 ephemeral = true 时，它的值只会临时存在，例如短生命周期 token 或 session 标识符。这意味着相应的值不会以明文形式出现在 state 文件中。

关键特性

• 临时生命周期：Ephemeral resources 只在 Terraform 需要它们时存在。Terraform 会按需创建或获取它们，如有需要还会续期（例如延长 secret lease），并在不再需要时销毁它们。
• State 保护：Terraform 会将 ephemeral resource 的值排除在 state 和 plan 文件之外，以保护敏感数据安全。
• 有限使用范围：你只能在临时上下文中引用 ephemeral resources，例如 locals、provider 设置或其他 ephemeral resources。

Ephemeral Resources 的优势

正如 DevOps 和平台工程师已经习惯了“ephemeral”环境带来的运维收益一样，ephemeral resources 也采用了同样的“用完即弃”方式。这一策略帮助团队在保持 Terraform 强大的自动化能力和效率的同时，实施稳健的安全实践。它是 Terraform 安全模型中的一次范式转变，从多个方面增强了你的 infrastructure-as-code 实践：

1. 更安全：这些短生命周期资源将敏感信息的暴露窗口降到最低，显著降低了安全风险。
2. 更高效：通过在执行后自动销毁未使用的资源，团队可以优化云成本并避免资源浪费。
3. 更灵活：团队可以根据运行时需求动态管理资源——无论是注入临时 secrets、运行基础设施测试，还是处理引导流程。
4. 适配 GitOps：这种方式通过用 ephemeral 引用替换版本控制中的静态 secrets，与 GitOps 工作流完美契合。

阅读我们的 GitOps Secrets Management Best Practices

示例：使用 Infisical 注入 Secrets

以下示例演示了如何通过 Infisical provider 使用一个 ephemeral resource 动态获取数据库密码，并在不将 secrets 持久化到 state 的情况下配置 PostgreSQL provider：

## 配置 Infisical provider
terraform {
  required_providers {
    infisical = {
      source = "infisical/infisical"
    }
  }
}

provider "infisical" {
  # 认证通过例如 GitHub Actions OIDC 处理
}

## 以 ephemeral 方式获取 secret
ephemeral "infisical_secret" "db_creds" {
  name         = "DB_CREDENTIALS"
  env_slug     = "prod"
  workspace_id = var.infisical_workspace_id
  folder_path  = "/"
}

## 解码 secret 并配置 PostgreSQL provider
locals {
  credentials = jsondecode(ephemeral.infisical_secret.db_creds.value)
}

provider "postgresql" {
  host     = data.aws_db_instance.example.address
  port     = data.aws_db_instance.example.port
  username = local.credentials["username"]
  password = local.credentials["password"]
}

## 在基础设施中使用该 secret（例如 RDS）
resource "aws_db_instance" "example" {
  password = local.credentials["password"]
  # ...
}

它是如何工作的

• ephemeral block 会在 Terraform 执行期间从 Infisical 获取 secret DB_CREDENTIALS。
• 该 secret 会被解码为一个 local 值，而这个值也会因关联而成为 ephemeral。
• PostgreSQL provider 会动态使用该 secret，从而避免将其存储在 state 文件中。

作为额外的好处，使用 Infisical 的 OIDC 集成可确保凭证是短生命周期的，并且永远不会持久化到 CI/CD logs 中。包含 GitHub Action OIDC 认证的完整示例可在这里查看。

支持的 Providers

由于这项功能相对较新，目前只有少数 provider（如 Infisical）支持这些 resources。以下是你可以用来创建 ephemeral resources 的主要 provider 列表：

最佳实践

• 限制引用范围： 只在允许的上下文中使用 ephemeral resources（例如 provider blocks、locals）。
• 结合 OIDC： 在 CI/CD pipelines 中使用 OpenID Connect（OIDC）实现安全的无 token 认证。
• 监控生命周期： 确保 ephemeral resources 被及时关闭，以避免访问权限残留。

结论

Ephemeral resources 通过支持临时且不写入 state 的数据处理方式，解决了 Terraform 中关键的安全和运维缺口。正如 Infisical 示例所展示的那样，它们在 GitOps 工作流中的 secrets 管理方面尤为强大。随着越来越多的 provider 采用这一特性，ephemeral resources 将成为安全、动态 infrastructure-as-code 实践的基石。

如需更多细节，请参考 Terraform 的官方文档或 Infisical 的集成指南。

Thomas Segura

技术作者，Infisical

• 原文链接： infisical.com/blog/terra...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～