はてなブックマーク

Terraform のレビューはコードレビューではない Terraform の PR レビューを「コードレビュー」と同じ感覚でやると本番が壊れる。 plan 出力に埋もれた destroy 行、resource 追加に紛れた IAM 権限の昇格、セキュアな値の漏洩。これらは「コードが綺麗か」を見る目では捕まらない。 差分を読む順序、CI で機械的に弾く仕組み、誰がどこを承認するかというフロー設計。3つが揃って初めてレビューが機能する。 なぜ Terraform 変更は普通の PR レビューでは守れないのか 理由は3つある。 plan 出力が長すぎて危険な行が埋もれる: 本番環境の terraform plan は数百行を超えることがある。+ resource ... の山の中に - aws_db_instance.main の1行が紛れ込む。レビュアーは出力を見落とす可能性が高まる。 コー