Encriptado de nuestro backend

Para eliminar el Bucker creado es necesario añadir en el archivo backend.tf el argumento:

force_destroy= true

Quedaría así:

  backend "s3" {
    bucket = "backend-terraform-dahwild"
    key    = "dev"
    region = "us-east-2"
    encrypt = true
    # Enviar ARN del recurso que creó al archivo de estado
    kms_key_id = "arn:aws:kms:us-east-2:511857092531:key/35f69747-5431-43eb-8897-4901a1c1b478"
    force_destroy = true
  }
}

Si este argumento no se incluye no se va a poder eliminar el Bucket ya que este contiene información, luego de incluir esta información es necesario ejecutar los siguientes comandos:

terraform plan

terraform apply

terraform destroy

En la sintaxis ya no son necesarios los caracteres “${}” (Terraform v0.12.16 o superior)

Con tflint podemos hacer un “Lint” de nuestro código terraform

https://github.com/terraform-linters/tflint

Acá les dejo la pagina de la documentación de s3 en terraform Link

Aquí tambien la documentación oficial de terraform se encuentra actualizada, dentro de kms_master_key_id

kms_master_key_id = aws_kms_key.mykey.arn

para futuros cursos, ojala mejorar la visivilidad del codigo, tanto movimiento arriba y abajo y no ver el codigo en una forma mas completa, genera confusion. ideal full hd y el id completo, con terminal separado o, por lo menos, ocultarlo cuando no lo este usando.

Algo importante a tener en cuenta es que antes de crear el backend, debemos de crear el resource del bucket, sino nos saldra un error diciendo que el bucket no existe.

Al estar encrypted en modo server side solo estara encrypted mientras el archivo este en el bucket de s3, si el archivo es descargado por ejemplo queda en texto plano.

este es el enlace de la pagina que visita Yolanda

En el video, el usuario debe tener mas bien acceso a la key, así que se podría crear una key CMK y habilitar el acceso para encrypt y decrypt solo a cierto grupo de usuarios

Acá estan los precios de KMS. https://aws.amazon.com/es/kms/pricing/

Es importante tener en cuenta que Terraform es capaz de leer el archivo porque el usuario que usa para conectarse a AWS tiene los permisos para ello.
Con esto quiero resaltar que es muy importante tener en cuenta el usuario con el que se crea el archivo, más allá de si fue creado por Terraform o no.

1usd/mes por almacenar keys, no es caro pero para solo tener una key…

Chicos:
El parámetro server_side_encryption_configuration está deprecado. Se debe de usar le recurso aws_s3_bucket_server_side_encryption_configuration.
Tengo la versión de Terraform: v1.2.8