10. lock ファイルと依存管理

.terraform.lock.hcl とは

terraform init を初めて実行すると、ディレクトリ直下に .terraform.lock.hcl が自動生成されます。中身は 「現在使っている provider の正確なバージョン」と「そのバイナリのチェックサム」。

provider "registry.terraform.io/hashicorp/aws" {
  version     = "5.83.1"
  constraints = "~> 5.80"
  hashes = [
    "h1:abc123...",
    "h1:def456...",
    # ...
  ]
}

これを Git で共有すれば、誰が terraform init しても 全員が同じ provider バージョン・同じバイナリ でコードを評価できます。

なぜコミットが必須か

• 再現性: A さんは 5.80.0 で apply、B さんは 5.83.1 で apply、と差が出ると「私のところは plan が違う」事故になる
• セキュリティ: hashes が 公式バイナリのチェックサム。これが違えば「provider が改ざんされた／差し替えられた」と検知できる（サプライチェーン攻撃対策）
• CI の安定: GitHub Actions と手元で同じバージョンで動く

terraform init での挙動

バージョンを上げる

# 制約 (~> 5.80) の範囲で最新を取り直し、lock を更新
terraform init -upgrade

# 結果を確認
git diff .terraform.lock.hcl

# 問題なければコミット
git add .terraform.lock.hcl
git commit -m "chore: bump aws provider to 5.84.0"

provider のメジャーバージョン（5 → 6 等）を上げる時は、まず required_providers の version 制約を緩めてから -upgrade します。アップグレード後に terraform plan を必ず確認し、リソースの再作成が起きないかチェック。

マルチプラットフォーム

lock ファイルは OS／アーキテクチャごとにチェックサムが必要。手元（Windows）で init して lock を作って commit しても、CI（Linux）で init すると「linux_amd64 のチェックサムが lock にない」というエラーが出ます。

# 必要なプラットフォームのチェックサムを追加
terraform providers lock \
  -platform=windows_amd64 \
  -platform=linux_amd64 \
  -platform=darwin_amd64 \
  -platform=darwin_arm64

# lock ファイルが更新される。コミットして共有
git add .terraform.lock.hcl
git commit -m "chore: add multi-platform hashes to provider lock"

推奨運用フロー

1. 新規プロジェクト: terraform init → .terraform.lock.hcl が生まれる → コミット
2. 新しい provider を追加: terraform { required_providers { ... } } 追記 → terraform init → lock 更新 → コミット
3. 定期更新（月次など）: terraform init -upgrade → diff 確認 → plan 確認 → コミット
4. マルチプラットフォーム: terraform providers lock -platform=... をたまに走らせる
5. CI: terraform init -input=false（lock のバージョンに固定）→ plan / apply