Terraform(IaC)と実環境の乖離どうしていますか？

Transcript

1. Terraform(IaC)と実環境の 乖離どうしていますか？ JAWS-UG山梨 【第10回】勉強会 Yuki Kurono 2026/2/14

2. 自己紹介 黒野 雄稀 Yuki Kurono 普段はインフラ設計・構築や運用構築に従事 新卒で2020に入社 2022-2024 Japan AWS

   All Certifications Engineers 2023 Japan AWS Top Engineers AWS Communit Builder(CloudOperation)

3. IaCと実環境の乖離 理想: Terrformによる完全な管理 現実: いつの間にか行われる手動変更 • コードで全てを定義 • 変更は必ずプルリク経由 •

   冪等性と整合性を担保 • 「緊急対応でSG開けました」 • 「コンソールで設定変えました」 • コードと実環境の不一致 • deploy時に予期せぬ差分とエラー

4. すでに世にあるサービス HPC Terraform Firefly tfstate.com etc... この辺は、Terraformの差分検知機能を持っているがそこそこ値段する。

5. なにがあれば解決しそうか 差分の検知 作業者の特定 原因分析 自動実行＆連携 terraform plan を使って差分を検知 CloudTrailからイベ ント・リソース名を

   もとに作業者を特定 Bedrockを使って検 知した内容をもとに 要約・原因分析 GitHub Actionsによ る自動実行。Slack 通知・Github Issue の自動作成

6. アーキテクチャ概要 Bedrock用環境 Amazon Bedrock 開発者 デイリー実行 各システム環境 AWS CloudTrail ①plan実行(差分チェック)

   ③原因の分析 ②作業者特定 ④Slack通知 ⑤Issue作成 デプロイ

7. Step1:terraform planによる検知 差分の検知 :Terrafrom plan 実環境の状態を読み取り、tfstateファイルと比較を行う。 インフラ設定自体には変更は加えず、差分の検知のみ。

8. Step2:作業者の特定 各システム環境 検知された変更のリソース名、IDをもとにCloudTrailからLookupEventsで 直近２４時間のイベントで検索する。 LookupEvents AWS CloudTrail

9. Step3:Bedrockによる原因分析 Before:plan結果 # module.mo_network.aws_vpc.main has changed ~ resource "aws_vpc" "main"

   { id = "vpc-xxxxxxxxxxxxxx" ~ tags = { + "Env" = "dev" "Name" = "kurono-test" } ~ tags_all = { + "Env" = "dev" # (1 unchanged element hidden) } # (19 unchanged attributes hidden) } After:Bedrockによる要約・分析 概要: AWS VPC (aws_vpc.main) のタグが変更されました。 具体的には、"Env" タグが "dev" という値で追加されま した。 重要度 : MEDIUM 理由: VPC のタグ変更は、リソースの識別や管理に影 響を与える可能性がありますが、 VPC の機能や構成自 体には直接影響しないため。 想定原因 : 1. 手動変更: AWS コンソールや CLI を通じて手動でタ グが追加された可能性があります。 2. 別システムの自動変更 : タグ管理ツールや他の自動 化プロセスがタグを追加した可能性があります。 要約・分析 Terraform planの結果をもとにBedrockに差分内容の要約・原因分析をする

10. Step4:Slack通知とGithub Issue Cronで毎日9時(JST)に実行し、差分が検知された場合はSlackで通知を行い、 GitHub Issueを作成する。

11. ➔ IaCと実環境の乖離は避けられない ◆ 手動変更や緊急対応、別ベンダーによる変更など原因は多岐にわたる ➔ 検知・可視化がまずは最優先 ◆ 「誰が・いつ・なぜ」変更したのか把握すること ➔ ツール連携

    ◆ より気づきやすく分かりやすくすること End まとめ