<h1 id="%E6%A6%82%E8%A6%81" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E6%A6%82%E8%A6%81" aria-hidden="true"></a> 概要</h1>
terraformを知らなくても、簡単な項目だけ書けばリソースをデプロイできる仕組みをterraformで用意しました 
こんな感じのイメージです
<ul data-line="4" class="code-line">
<li data-line="4" class="code-line">開発者: yamlファイルに必要項目を書く</li>
<li data-line="5" class="code-line">SRE（インフラ）: ↑を反映させるTFを用意する</li>
</ul>
<h1 id="%E9%A1%8C%E6%9D%90" data-line="7" class="code-line">
<a class="header-anchor-link" href="#%E9%A1%8C%E6%9D%90" aria-hidden="true"></a> 題材</h1>
題材はECRリポジトリにします 
ユーザは以下の情報だけを記述すればよいものとします
<ul data-line="10" class="code-line">
<li data-line="10" class="code-line">リポジトリ名</li>
<li data-line="11" class="code-line">チーム名（tagに反映する）</li>
<li data-line="12" class="code-line">mutable or immutable</li>
<li data-line="13" class="code-line">IAMロール（リポジトリポリシーに反映する）</li>
</ul>
<h1 id="%E3%83%A6%E3%83%BC%E3%82%B6%E3%81%AB%E6%9B%B8%E3%81%84%E3%81%A6%E3%82%82%E3%82%89%E3%81%86%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB" data-line="15" class="code-line">
<a class="header-anchor-link" href="#%E3%83%A6%E3%83%BC%E3%82%B6%E3%81%AB%E6%9B%B8%E3%81%84%E3%81%A6%E3%82%82%E3%82%89%E3%81%86%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB" aria-hidden="true"></a> ユーザに書いてもらうファイル</h1>
yamlにしました
<div class="code-block-container"><pre class="language-yaml"><code class="language-yaml code-line" data-line="17">- name: frontend-app
 team: team-alpha
 immutable: false
 iam_roles:
 - arn:aws:iam::123456789012:role/team-alpha-deploy-role
 - arn:aws:iam::123456789012:role/ci-cd-role

- name: backend-api
 team: team-alpha
 immutable: true
 iam_roles:
 - arn:aws:iam::123456789012:role/team-alpha-deploy-role

- name: batch-worker
 team: team-beta
 immutable: false
 iam_roles:
 - arn:aws:iam::123456789012:role/team-beta-deploy-role
</code></pre></div><h1 id="tf%E3%82%B3%E3%83%BC%E3%83%89" data-line="38" class="code-line">
<a class="header-anchor-link" href="#tf%E3%82%B3%E3%83%BC%E3%83%89" aria-hidden="true"></a> TFコード</h1>
<div class="code-block-container"><pre class="language-hcl"><code class="language-hcl code-line" data-line="39"># YAMLファイルを読み込み
locals {
 repositories = yamldecode(file("${path.module}/ecr-repositories.yaml"))

 # リポジトリ名をキーとしたマップに変換
 repositories_map = {
 for repo in local.repositories : repo.name =&gt; repo
 }
}

# ECRリポジトリの作成
resource "aws_ecr_repository" "this" {
 for_each = local.repositories_map

 name = each.value.name
 image_tag_mutability = each.value.immutable ? "IMMUTABLE" : "MUTABLE"

 tags = {
 Name = each.value.name
 Team = each.value.team
 ManagedBy = "terraform"
 }
}

# リポジトリポリシーの設定
resource "aws_ecr_repository_policy" "this" {
 for_each = local.repositories_map

 repository = aws_ecr_repository.this[each.key].name

 policy = jsonencode({
 Version = "2012-10-17"
 Statement = [
 {
 Sid = "AllowPushPull"
 Effect = "Allow"
 Principal = {
 AWS = each.value.iam_roles
 }
 Action = [
 "ecr:GetDownloadUrlForLayer",
 "ecr:BatchGetImage",
 "ecr:BatchCheckLayerAvailability",
 "ecr:PutImage",
 "ecr:InitiateLayerUpload",
 "ecr:UploadLayerPart",
 "ecr:CompleteLayerUpload"
 ]
 }
 ]
 })
}

# ライフサイクルポリシー（オプション）
resource "aws_ecr_lifecycle_policy" "this" {
 for_each = local.repositories_map

 repository = aws_ecr_repository.this[each.key].name

 policy = jsonencode({
 rules = [
 {
 rulePriority = 1
 description = "Keep last 10 images"
 selection = {
 tagStatus = "any"
 countType = "imageCountMoreThan"
 countNumber = 10
 }
 action = {
 type = "expire"
 }
 }
 ]
 })
}
</code></pre></div>ポイントはYAMLファイルからリポジトリ設定を読み込むところです 
ecr-repositories.yamlファイルを読み込みリスト形式のデータを取得、リストをマップ（辞書）形式に変換し、リポジトリ名をキーとして使用しています 
あとはfor_eachで処理するだけです
<h1 id="%E5%8B%95%E4%BD%9C%E7%A2%BA%E8%AA%8D" data-line="121" class="code-line">
<a class="header-anchor-link" href="#%E5%8B%95%E4%BD%9C%E7%A2%BA%E8%AA%8D" aria-hidden="true"></a> 動作確認</h1>
これをapplyすると
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="123">$ terraform state list
aws_ecr_lifecycle_policy.this["backend-api"]
aws_ecr_lifecycle_policy.this["batch-worker"]
aws_ecr_lifecycle_policy.this["frontend-app"]
aws_ecr_repository.this["backend-api"]
aws_ecr_repository.this["batch-worker"]
aws_ecr_repository.this["frontend-app"]
aws_ecr_repository_policy.this["backend-api"]
aws_ecr_repository_policy.this["batch-worker"]
aws_ecr_repository_policy.this["frontend-app"]
</code></pre></div>よさそうです 
yaml1つ用意しておけば、すぐにチーム専用のリソースを作成できます
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81" data-line="138" class="code-line">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
意外と簡単にterraformファイルはできたので、チーム毎に必要なAWSリソースがあったら使ってみると便利かと思います 
モジュールにも応用できる手法です
ただ書いていて、「immutableってわかりずらい？」「なんのためにIAMロール設定するの？」等の疑問は生じると思うので、ちゃんとREADMEに説明書くなりするのが大事と思いました

【terraform】yamlファイルにちょっと書くだけでリソース作成できる仕組みを作りたい

ユーザに書いてもらうファイル

Discussion