【GitHub Actions】TerraformでデプロイするCI/CDパイプラインの構築手順

$ git clone git@github.com:xxxxxxx/test_demo.git
Cloning into ‘test_demo’…
remote: Enumerating objects: 3, done.
remote: Counting objects: 100% (3/3), done.
remote: Compressing objects: 100% (2/2), done.
remote: Total 3 (delta 0), reused 0 (delta 0), pack-reused 0
Receiving objects: 100% (3/3), done.

$ ls -l | grep test_demo
drwxrwxr-x 3 ec2-user ec2-user 36 Sep 11 15:02 test_demo

$ cd test_demo/
$ ls -la
total 4
drwxrwxr-x 3 ec2-user ec2-user 36 Sep 11 15:02 .
drwxrwxr-x 6 ec2-user ec2-user 69 Sep 11 15:02 ..
drwxrwxr-x 8 ec2-user ec2-user 163 Sep 11 15:02 .git
-rw-rw-r– 1 ec2-user ec2-user 716 Sep 11 15:02 .gitignore

# This is a basic workflow to help you get started with Actions 
 
name: CI 
 
# Controls when the workflow will run 
on: 
  # Triggers the workflow on push or pull request events but only for the “main” branch 
  push: 
    branches: [ “main” ] 
  pull_request: 
    branches: [ “main” ] 
 
  # Allows you to run this workflow manually from the Actions tab 
  workflow_dispatch: 
 
# A workflow run is made up of one or more jobs that can run sequentially or in parallel 
jobs: 
  # This workflow contains a single job called “build” 
  build: 
    # The type of runner that the job will run on 
    runs-on: ubuntu-latest 
 
    # Steps represent a sequence of tasks that will be executed as part of the job 
    steps: 
      # Checks-out your repository under $GITHUB_WORKSPACE, so your job can access it 
      – uses: actions/checkout@v3 
 
      # Runs a single command using the runners shell 
      – name: Run a one-line script 
        run: echo Hello, world! 
 
      # Runs a set of commands using the runners shell 
      – name: Run a multi-line script 
        run: | 
          echo Add other actions to build, 
          echo test, and deploy your project. 

$ git pull 
remote: Enumerating objects: 6, done. 
remote: Counting objects: 100% (6/6), done. 
remote: Compressing objects: 100% (3/3), done. 
remote: Total 5 (delta 0), reused 0 (delta 0), pack-reused 0 
Unpacking objects: 100% (5/5), 1.28 KiB | 657.00 KiB/s, done. 
From github.com:xxxxxxxx/test_demo 
   fdb7857..402c5b3  main       -> origin/main 
There is no tracking information for the current branch. 
Please specify which branch you want to merge with. 
See git-pull(1) for details. 
 
    git pull   
 
If you wish to set tracking information for this branch you can do so with: 
 
    git branch –set-upstream-to=origin/ demo_20220911 
 

(main) $ git branch demo_20220911 
(main) $ git checkout demo_20220911  
Switched to branch ‘demo_20220911’ 
(demo_20220911) $ touch test.txt 
(demo_20220911) $ echo “test” > test.txt  
(demo_20220911) $ cat test.txt  
test 

(demo_20220911) $ ls 
test.txt 
sasagawam@gmail.com:~/environment/test/test_demo (demo_20220911) $ git status 
On branch demo_20220911 
Untracked files: 
  (use “git add …” to include in what will be committed) 
        test.txt 
 
nothing added to commit but untracked files present (use “git add” to track) 
(demo_20220911) $ git add . 
(demo_20220911) $ git status 
On branch demo_20220911 
Changes to be committed: 
  (use “git restore –staged …” to unstage) 
        new file:   test.txt 
 

(demo_20220911) $ git commit -m “demo_01” 
[demo_20220911 1603f9a] demo_01 
 Committer: EC2 Default User <ec2-user@ip-172-31-44-157.ap-northeast-1.compute.internal> 
Your name and email address were configured automatically based 
on your username and hostname. Please check that they are accurate. 
You can suppress this message by setting them explicitly: 
 
    git config –global user.name “Your Name” 
    git config –global user.email you@example.com 
 
After doing this, you may fix the identity used for this commit with: 
 
    git commit –amend –reset-author 
 
 1 file changed, 1 insertion(+) 
 create mode 100644 test.txt 

(demo_20220911) $ git push origin demo_20220911  
Enumerating objects: 4, done. 
Counting objects: 100% (4/4), done. 
Compressing objects: 100% (2/2), done. 
Writing objects: 100% (3/3), 314 bytes | 314.00 KiB/s, done. 
Total 3 (delta 0), reused 0 (delta 0), pack-reused 0 
To github.com:xxxxxxxxx/test_demo.git 
   fdb7857..1603f9a  demo_20220911 -> demo_20220911 

$ vi iam.tf  
#============================================================================ 
# Github Actions 用ロール 
#============================================================================ 
# —————————————————————————– 
# GitHub Actions プロバイダー設定 
# —————————————————————————– 
resource “aws_iam_openid_connect_provider” “terra_cicd_demo” { 
  url             = “https://token.actions.githubusercontent.com” 
  client_id_list  = [“sts.amazonaws.com”] 
  # このコードは固定値 
  thumbprint_list = [“6938fd4d98bab03faadb97b34396831e3780aea1”] 
} 
 
# —————————————————————————– 
# GitHub Actions 用ロール作成 
# —————————————————————————– 
resource “aws_iam_role” “terra_cicd_demo_oidc_role” { 
  name = “TerraCICDDemoOIDCRole” 
  path = “/” 
  assume_role_policy = jsonencode({ 
    Version = “2012-10-17” 
    Statement = [{ 
      Effect = “Allow” 
      Action = “sts:AssumeRoleWithWebIdentity” 
      Principal = { 
        Federated = aws_iam_openid_connect_provider.terra_cicd_demo.arn 
      } 
      Condition = { 
        StringLike = { 
          “token.actions.githubusercontent.com:sub” = [ 
            # リポジトリ制限 

            # リポジトリに複数のブランチを作成している場合は特定のブランチを絞ることができる。リスト化もできる。 
            “repo:xxxxx/test_demo:ref:refs/heads/demo_20220911”,
          ] 
        } 
      } 
    }] 
  }) 
} 
 
# —————————————————————————– 
# ポリシーのアタッチ（AdministratorAccess_attachment） 
# —————————————————————————– 
resource “aws_iam_role_policy_attachment” “AdministratorAccess_attachment” { 
  role       = aws_iam_role.terra_cicd_demo_oidc_role.name 
  policy_arn = “arn:aws:iam::aws:policy/AdministratorAccess” 
}   

provider “aws” { 
  region = “ap-northeast-1” 
}

terraform { 
  backend “s3” { 
    bucket = “terraform-tfstate-file-demo” 
    key    = “terraform.tfstate” 
    region = “ap-northeast-1” 
  } 
}

#============================================================================ 
# Github Actions 用ロール 
#============================================================================ 
# —————————————————————————– 
# GitHub Actions プロバイダー設定 
# —————————————————————————– 
resource “aws_iam_openid_connect_provider” “terra_cicd_demo” { 
  url             = “https://token.actions.githubusercontent.com” 
  client_id_list  = [“sts.amazonaws.com”] 
  # このコードは固定値 
  thumbprint_list = [“6938fd4d98bab03faadb97b34396831e3780aea1”] 
} 
 
# —————————————————————————– 
# GitHub Actions 用ロール作成 
# —————————————————————————– 
resource “aws_iam_role” “terra_cicd_demo_oidc_role” { 
  name = “TerraCICDDemoOIDCRole” 
  path = “/” 
  assume_role_policy = jsonencode({ 
    Version = “2012-10-17” 
    Statement = [{ 
      Effect = “Allow” 
      Action = “sts:AssumeRoleWithWebIdentity” 
      Principal = { 
        Federated = aws_iam_openid_connect_provider.terra_cicd_demo.arn 
      } 
      Condition = { 
        StringLike = { 
          “token.actions.githubusercontent.com:sub” = [ 
            # リポジトリ制限 

            # リポジトリに複数のブランチを作成している場合は特定のブランチを絞ることができる。リスト化もできる。 
            “repo:xxxxx/test_demo:ref:refs/heads/demo_20220911”,
          ] 
        } 
      } 
    }] 
  }) 
} 
 
# —————————————————————————– 
# ポリシーのアタッチ（AdministratorAccess_attachment） 
# —————————————————————————– 
resource “aws_iam_role_policy_attachment” “AdministratorAccess_attachment” { 
  role       = aws_iam_role.terra_cicd_demo_oidc_role.name 
  policy_arn = “arn:aws:iam::aws:policy/AdministratorAccess” 
}   

$ terraform init 
 
Initializing the backend… 
 
Successfully configured the backend “s3”! Terraform will automatically 
use this backend unless the backend configuration changes. 
 
Initializing provider plugins… 
– Finding latest version of hashicorp/aws… 
– Installing hashicorp/aws v4.30.0… 
– Installed hashicorp/aws v4.30.0 (signed by HashiCorp) 
 
Terraform has created a lock file .terraform.lock.hcl to record the provider 
selections it made above. Include this file in your version control repository 
so that Terraform can guarantee to make the same selections by default when 
you run “terraform init” in the future. 
 
Terraform has been successfully initialized! 
 
You may now begin working with Terraform. Try running “terraform plan” to see 
any changes that are required for your infrastructure. All Terraform commands 
should now work. 
 
If you ever set or change modules or backend configuration for Terraform, 
rerun this command to reinitialize your working directory. If you forget, other 
commands will detect it and remind you to do so if necessary.

$ terraform plan 
 
Terraform used the selected providers to generate the following execution plan. Resource actions are indicated with the following 
symbols: 
  + create 
 
Terraform will perform the following actions: 
 
  # aws_iam_openid_connect_provider.terra_cicd_demo will be created 
  + resource “aws_iam_openid_connect_provider” “terra_cicd_demo” { 
      + arn             = (known after apply) 
      + client_id_list  = [ 
          + “sts.amazonaws.com”, 
        ] 
      + id              = (known after apply) 
      + tags_all        = (known after apply) 
      + thumbprint_list = [ 
          + “6938fd4d98bab03faadb97b34396831e3780aea1”, 
        ] 
      + url             = “https://token.actions.githubusercontent.com” 
    } 
 
  # aws_iam_role.terra_cicd_demo_oidc_role will be created 
  + resource “aws_iam_role” “terra_cicd_demo_oidc_role” { 
      + arn                   = (known after apply) 
      + assume_role_policy    = jsonencode( 
            { 
              + Statement = [ 
                  + { 
                      + Action    = “sts:AssumeRoleWithWebIdentity” 
                      + Condition = { 
                          + StringLike = { 
                              + “token.actions.githubusercontent.com:sub” = [ 
                                  + “repo:xxxxx/test_demo:ref:refs/heads/demo_20220911”, 
                                ] 
                            } 
                        } 
                      + Effect    = “Allow” 
                      + Principal = { 
                          + Federated = “arn:aws:iam::xxxxxxxx:oidc-provider/token.actions.githubusercontent.com” 
                        } 
                    }, 
                ] 
              + Version   = “2012-10-17” 
            } 
        ) 
      + create_date           = (known after apply) 
      + force_detach_policies = false 
      + id                    = (known after apply) 
      + managed_policy_arns   = (known after apply) 
      + max_session_duration  = 3600 
      + name                  = “TerraCICDDemoOIDCRole” 
      + name_prefix           = (known after apply) 
      + path                  = “/” 
      + tags_all              = (known after apply) 
      + unique_id             = (known after apply) 
 
      + inline_policy { 
          + name   = (known after apply) 
          + policy = (known after apply) 
        } 
    } 
 
  # aws_iam_role_policy_attachment.AdministratorAccess_attachment will be created 
  + resource “aws_iam_role_policy_attachment” “AdministratorAccess_attachment” { 
      + id         = (known after apply) 
      + policy_arn = “arn:aws:iam::aws:policy/AdministratorAccess” 
      + role       = “TerraCICDDemoOIDCRole” 
    } 
 
Plan: 3 to add, 0 to change, 0 to destroy. 
 
────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 
 
Note: You didn’t use the -out option to save this plan, so Terraform can’t guarantee to take exactly these actions if you run 
“terraform apply” now.

$ terraform apply

╷ 
│ Error: error creating IAM OIDC Provider: EntityAlreadyExists: Provider with url https://token.actions.githubusercontent.com already exists. 
│       status code: 409, request id: 4b363ff7-928c-41b2-80b5-xxxxxxx 
│  
│   with aws_iam_openid_connect_provider.terra_cicd_demo, 
│   on iam.tf line 7, in resource “aws_iam_openid_connect_provider” “terra_cicd_demo”: 
│    7: resource “aws_iam_openid_connect_provider” “terra_cicd_demo” { 
│  
╵ 

#============================================================================ 
# Github Actions 用ロール 
#============================================================================ 
# —————————————————————————– 
# GitHub Actions プロバイダー設定 
# —————————————————————————– 
/* 
resource “aws_iam_openid_connect_provider” “terra_cicd_demo” { 
  url             = “https://token.actions.githubusercontent.com” 
  client_id_list  = [“sts.amazonaws.com”] 
  # 固定値 
  thumbprint_list = [“6938fd4d98bab03faadb97b34396831e3780aea1”] 
} 
*/ 
 
# —————————————————————————– 
# GitHub Actions 用ロール作成 
# —————————————————————————– 
resource “aws_iam_role” “terra_cicd_demo_oidc_role” { 
  name = “TerraCICDDemoOIDCRole” 
  path = “/” 
  assume_role_policy = jsonencode({ 
    Version = “2012-10-17” 
    Statement = [{ 
      Effect = “Allow” 
      Action = “sts:AssumeRoleWithWebIdentity” 
      Principal = { 
        #Federated = aws_iam_openid_connect_provider.terra_cicd_demo.arn 
        Federated = “arn:aws:iam::xxxxxxxx:oidc-provider/token.actions.githubusercontent.com” 
      } 
      Condition = { 
        StringLike = { 
          “token.actions.githubusercontent.com:sub” = [ 
            # リポジトリ制限 
            “repo:xxxxxx/test_demo:*”, 
          ] 
        } 
      } 
    }] 
  }) 
} 
 
# —————————————————————————– 
# ポリシーのアタッチ（AdministratorAccess_attachment） 
# —————————————————————————– 
resource “aws_iam_role_policy_attachment” “AdministratorAccess_attachment” { 
  role       = aws_iam_role.terra_cicd_demo_oidc_role.name 
  policy_arn = “arn:aws:iam::aws:policy/AdministratorAccess” 
} 

$ terraform apply

 (main) $ git pull 
remote: Enumerating objects: 4, done. 
remote: Counting objects: 100% (4/4), done. 
remote: Compressing objects: 100% (2/2), done. 
remote: Total 2 (delta 1), reused 0 (delta 0), pack-reused 0 
Unpacking objects: 100% (2/2), 699 bytes | 699.00 KiB/s, done. 
From github.com:xxxx/test_demo 
   402c5b3..9d78560  main       -> origin/main 
Updating fdb7857..9d78560 
Fast-forward 
 .github/workflows/test_demo.yml | 36 ++++++++++++++++++++++++++++++++++++ 
 .terraform.lock.hcl             | 21 +++++++++++++++++++++ 
 iam.tf                          | 49 +++++++++++++++++++++++++++++++++++++++++++++++++ 
 main.tf                         |  3 +++ 
 terraform.tf                    |  7 +++++++ 
 5 files changed, 116 insertions(+) 
 create mode 100644 .github/workflows/test_demo.yml 
 create mode 100644 .terraform.lock.hcl 
 create mode 100644 iam.tf 
 create mode 100644 main.tf 
 create mode 100644 terraform.tf 
 (main) $ git branch demo_test_20220918 
 (main) $ git checkout demo_test_20220918  
Switched to branch ‘demo_test_20220918’ 
 (demo_test_20220918) $ 

$ vi demo-ec2.tf 
resource “aws_instance” “demo-ec2” { 
    ami = “ami-0f36dcfcc94112ea1” 
    instance_type = “t2.micro” 
    subnet_id = “subnet-01890002cc54da77b” 
 
    tags = { 
        Name = “demo-ec2-01” 
    } 
 
}

$ vi terraform_plan.yml  
name: TerraformPlan 
 
on: 
  pull_request: 
    branches: 
      – main 
 
env: 
  TF_VERSION: 1.1.2 
  AWS_DEFAULT_REGION: ap-northeast-1 
  AWS_ROLE_ARN: arn:aws:iam::xxxxxxxx:role/TerraCICDDemoOIDCRole 
 
permissions: 
  id-token: write 
  contents: read 
  actions: read 
  pull-requests: write 
   
jobs: 
  Terraform_plan_and_Comment: 
    runs-on: ubuntu-latest 
 
    defaults: 
      run: 
        shell: bash 
 
    steps: 
      # リポジトリのチェックアウトをする。     
      – name: Check out repository code 
        uses: actions/checkout@v3 
 
      # OICDでAssumeRoleをする。 
      – name: Configure AWS credentials 
        uses: aws-actions/configure-aws-credentials@v1 
        with: 
          aws-region: ${{ env.AWS_DEFAULT_REGION }} 
          role-to-assume: ${{ env.AWS_ROLE_ARN }} 
 
      – name: Setup Terraform 
        # バージョン2を使用する。 
        uses: hashicorp/setup-terraform@v2 
        with: 
          terraform_version: ${{ env.TF_VERSION }} 
       
      – name: Exec Terraform fmt check 
        id: fmt 

        run: terraform fmt -check -recursive
        # exit code 3でエラーになり終了してしまうため
        # continue-on-error: true で後続の処理も続ける。
        continue-on-error: true

      – name: Exec Terraform init 
        id: init 
        run: terraform init 
 
      – name: Exec Terraform plan 
        id: plan 
        run: terraform plan -no-color 
           
      # terraform plan の結果をコメント欄に出力する。 
      – name : comment 
        uses: actions/github-script@v4 
        env: 
          # ここのstdoutでterraform planの結果をPLANに保存している。 
          PLAN: “terraform\n${{ steps.plan.outputs.stdout }}” 
           
        with: 
          script: | 
 
            const output = `### terraform cicd demo 
            #### Terraform Format and Style \`${{ steps.fmt.outcome }}\` 
            #### Terraform Initialization \`${{ steps.init.outcome }}\` 
            #### Terraform Plan \`${{ steps.plan.outcome }}\` 
            #### Terraform Validation \`${{ steps.validate.outcome }}\` 
 
            

            *Action: \`${{ github.event_name }}\`*`; 
 
            github.issues.createComment({ 
              issue_number: context.issue.number, 
              owner: context.repo.owner, 
              repo: context.repo.repo, 
              body: output 
            })

 (demo_test_20220918) $ git status 
On branch demo_test_20220918 
Changes not staged for commit: 
  (use “git add/rm …” to update what will be committed) 
  (use “git restore …” to discard changes in working directory) 
        deleted:    .github/workflows/test_demo.yml 
 
Untracked files: 
  (use “git add …” to include in what will be committed) 
        .github/workflows/terraform_plan.yml 
        demo-ec2.tf 
 
no changes added to commit (use “git add” and/or “git commit -a”) 
 (demo_test_20220918) $ git add . 
 (demo_test_20220918) $ git status 
On branch demo_test_20220918 
Changes to be committed: 
  (use “git restore –staged …” to unstage) 
        new file:   .github/workflows/terraform_plan.yml 
        deleted:    .github/workflows/test_demo.yml 
        new file:   demo-ec2.tf 
 
 (demo_test_20220918) $ git commit -m “demo_test_20220918”  
[demo_test_20220918 384e1d1] demo_test_20220918 
 Committer: EC2 Default User <ec2-user@ip-172-31-44-157.ap-northeast-1.compute.internal> 
Your name and email address were configured automatically based 
on your username and hostname. Please check that they are accurate. 
You can suppress this message by setting them explicitly: 
 
    git config –global user.name “Your Name” 
    git config –global user.email you@example.com 
 
After doing this, you may fix the identity used for this commit with: 
 
    git commit –amend –reset-author 
 
 3 files changed, 98 insertions(+), 36 deletions(-) 
 create mode 100644 .github/workflows/terraform_plan.yml 
 delete mode 100644 .github/workflows/test_demo.yml 
 create mode 100644 demo-ec2.tf 
 (demo_test_20220918) $ git push origin demo_test_20220918

Enumerating objects: 9, done. 
Counting objects: 100% (9/9), done. 
Compressing objects: 100% (4/4), done. 
Writing objects: 100% (6/6), 1.58 KiB | 811.00 KiB/s, done. 
Total 6 (delta 1), reused 0 (delta 0), pack-reused 0 
remote: Resolving deltas: 100% (1/1), completed with 1 local object. 
remote:  
remote: Create a pull request for ‘demo_test_20220918’ on GitHub by visiting: 
remote:      https://github.com/xxx/test_demo/pull/new/demo_test_20220918 
remote:  
To github.com:xxxxxxxx/test_demo.git 
 * [new branch]      demo_test_20220918 -> demo_test_20220918 
 (demo_test_20220918) $ 

Error: Terraform exited with code 3.
Error: Process completed with exit code 1.

$ terraform fmt -check -recursive
demo-ec2.tf
$ echo $?
3

$ terraform fmt
demo-ec2.tf
$ echo $?
0

      – name: Exec Terraform fmt check 
        id: fmt 
        run: terraform fmt -check -recursive 
        # exit code 3でエラーになり終了してしまうため 
        # continue-on-error: true で後続の処理も続ける。 
        continue-on-error: true

name: TerraformApply 
 
on: 
 pull_request: 
    branches: 
      – main 
    types: [closed] 
     
env: 
  TF_VERSION: 1.1.2 
  AWS_DEFAULT_REGION: ap-northeast-1 
  AWS_ROLE_ARN: arn:aws:iam::xxxxxxxxx:role/TerraCICDDemoOIDCRole
 
permissions: 
  id-token: write 
  contents: read 
  actions: read 
  pull-requests: write 
   
jobs: 
  Terraform_Apply: 
    runs-on: ubuntu-latest 
 
    defaults: 
      run: 
        shell: bash 
 
    steps: 
      # リポジトリのチェックアウトをする。     
      – name: Check out repository code 
        uses: actions/checkout@v3 
 
      # OICDでAssumeRoleをする。 
      – name: Configure AWS credentials 
        uses: aws-actions/configure-aws-credentials@v1 
        with: 
          aws-region: ${{ env.AWS_DEFAULT_REGION }} 
          role-to-assume: ${{ env.AWS_ROLE_ARN }} 
           
      – name: Setup Terraform 
        # バージョン2を使用する 
        uses: hashicorp/setup-terraform@v2 
        with: 
          terraform_version: ${{ env.TF_VERSION }} 
       
      – name: Exec Terraform fmt check 
        id: fmt 
        working-directory: ‘${{ env.WORK_DIR }}’ 
        run: terraform fmt -recursive -check 

        # exit code 3でエラーになり終了してしまうため
        # continue-on-error: true で後続の処理も続ける。
        continue-on-error: true
 
      – name: Exec Terraform init 
        id: init 
        working-directory: ‘${{ env.WORK_DIR }}’ 
        run: terraform init 
 
      – name: terraform apply 
        id: apply 
        working-directory: ‘${{ env.WORK_DIR }}’ 
        run: terraform apply -auto-approve

(demo_test_20220918) $ git add . 
(demo_test_20220918) $ git commit -m “demo_test_20220918” 
[demo_test_20220918 c31e9d1] demo_test_20220918 
 Committer: EC2 Default User <ec2-user@ip-172-31-44-157.ap-northeast-1.compute.internal> 
Your name and email address were configured automatically based 
on your username and hostname. Please check that they are accurate. 
You can suppress this message by setting them explicitly: 
 
    git config –global user.name “Your Name” 
    git config –global user.email you@example.com 
 
After doing this, you may fix the identity used for this commit with: 
 
    git commit –amend –reset-author 
 
 2 files changed, 64 insertions(+), 1 deletion(-) 
 create mode 100644 .github/workflows/terraform_apply.yml 
(demo_test_20220918) $ git push origin demo_test_20220918 
Enumerating objects: 10, done. 
Counting objects: 100% (10/10), done. 
Compressing objects: 100% (5/5), done. 
Writing objects: 100% (6/6), 1.32 KiB | 675.00 KiB/s, done. 
Total 6 (delta 2), reused 0 (delta 0), pack-reused 0 
remote: Resolving deltas: 100% (2/2), completed with 2 local objects. 
To github.com:xxxxxxxxx/test_demo.git 
   a6e05c3..c31e9d1  demo_test_20220918 -> demo_test_20220918