[AWS][セキュリティーグループ]terraform import時に起きるError Cycleについて

投稿者: adachin 投稿日:

さて、最近Terraform職人なわけですが、セキュリティーグループをterraform importして、差分を修正していたところ以下のようなエラーに遭遇しました。

$ terraform plan
│ Error: Cycle: aws_security_group.hoge, aws_security_group.fuga

このエラーは2つのaws_security_groupのingressやegressのsecurity_groups idが参照しあっていると、Cycleエラーが発生します。今回はこの対処方法をブログします。

Resource: aws_security_group

https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group

At this time you cannot use a Security Group with in-line rules in conjunction with any Security Group Rule resources. Doing so will cause a conflict of rule settings and will overwrite rules.

現時点ではセキュリティグループルールリソースと組み合わせてインラインルールでセキュリティーグループを使用することはできません。これを行うと、ルール設定の競合が発生し、ルールが上書きされます。

なのでaws_security_group内かaws_security_group_ruleかどちらかに統一すれば良いというわけですね。なのでterraform import時というよりも、上記な状況で新規に追加しても起こり得るということになります。

対処方法

  • security-group.tf

どちらかに統一とのことなのでfugaの方をaws_security_group_ruleに全て統一しました。egressはそのままで問題ありません。ポイントとしては統一しないと以下のように terraform plan terraform apply を実行後にもとに戻り、永遠と差分が出てしまう状況になります。

  • 統一しない場合

terraform import時で気をつけること

既にfugaのセキュリティーグループをaws_security_groupでterraform importしてしまった場合は一度手動で削除して terraform apply しないと以下のようにエラーが出てしまうので、適用ができません。本番環境ではこうならないようにCycleエラーが発生してしまったらaws_security_group_ruleでterraform importするしかないですね。ですが、確認するのがツラ過ぎなのでメンテするしかないかな。

Error: [WARN] A duplicate Security Group rule was found on (sg-xxxxx). This may be
│ a side effect of a now-fixed Terraform issue causing two security groups with
│ identical attributes but different source_security_group_ids to overwrite each
│ other in the state. See https://github.com/hashicorp/terraform/pull/2376 for more
│ information and instructions for recovery. Error: InvalidPermission.Duplicate: the specified rule “peer: sg-xxxx, TCP, from port: 1234, to port: 1234, ALLOW” already exists
│ status code: 400, request id: 0xxxxxxxxxxxxxxxxxx

│ with aws_security_group_rule.fuga_1234,
│ on security-group.tf line 278, in resource “aws_security_group_rule” “fuga_1234”:
│ 278: resource “aws_security_group_rule” “fuga_1234” {

まとめ

しかしセキュリティーグループのimport化は大変だしシビアですね。。正直やりたくないのが本音。やらないといつまでも手動管理で杜撰になってしまうので、やりきります。めちゃくちゃハマったので参考にしてみてください。複雑なセキュリティーグループは大変だ!

カテゴリー: AWSTerraform
タグ:

adachin

1989年生まれのFindy/SRE。ホスティングから大規模なアドテクなどのインフラエンジニアとして携わる。現在はサービスの信頼性向上、DevOps、可用性、レイテンシ、パフォーマンス、モニタリング、オブザーバビリティ、緊急対応、AWSでのインフラ構築、Docker開発環境の提供、IaC、新技術の検証、リファクタリング、セキュリティ強化、分析基盤の運用などを担当している。個人事業主では数社サーバー保守とベンチャー企業のインフラコンサルティングを行うほか、TechBullで未経験者にSREのコーチングやコミュニティ運営をしている。過去には脆弱性スキャナVulsのOSS活動にも貢献。

0件のコメント

コメントを残す

This site uses Akismet to reduce spam. Learn how your comment data is processed.

関連投稿

AWS Security Lake Terraform

[AWS][Terraform]Security LakeでCloudTrailやWAFのログをGrafanaで可視化する

こんにちは!ファインディでSREチームをしている安達(@adachin 続きを読む…

Amplify AWS GitHub Actions Terraform

[AWS][Terraform][GitHub Actions]Amplify HostingでReactをデプロイ

1ヶ月ぶりのブログとなります!今回は、S3の静的Webサイトホスティン 続きを読む…

AWS Inspector Terraform

[AWS][Terraform]Inspectorの調査結果をクロスアカウント先のS3にCSVをエクスポートする

クロスアカウントで1週間どハマりしてたけど、ペアプロで解決したああああ 続きを読む…