シナリオ
CI/CDパイプラインがterraform planのステップで失敗した場合、またはローカルで実行して以下のエラーに遭遇した場合:
Error: Invalid provider configuration
on main.tf line 12, in provider "aws":
12: region = var.aws_region
The root module's provider configuration for "aws" is not compatible with the provider "registry.terraform.io/hashicorp/aws" v5.x.x.
エラーメッセージがさらに役に立たない場合もあります — 単にError: Invalid provider configurationとproviderブロックへの曖昧なポインタだけが表示されることもあります。いずれにせよ、Terraformは処理を続行しません。
これは認証情報が不足している場合やプロバイダープラグインが見つからない場合とは異なります。プロバイダーは存在し、認証情報も問題ないかもしれませんが、設定ブロック自体に何かが間違っています。
なぜこのエラーが発生するか
Terraformは他の処理を行う前に、すべてのproviderブロックを検証します。Error: Invalid provider configurationのよくある原因:
- 非推奨または名前変更された属性 — 例:削除されたAWSプロバイダーv5で
skip_credentials_validationを使用している - 属性名の間違い —
regionの代わりにreagionのようなタイプミス - プロバイダーバージョンの不一致 — providerブロックがv4.xにのみ存在する属性を使用しているが、
required_providersがv5.xにピン留めされている(またはその逆) - プロバイダーエイリアスの競合 — 同じエイリアスを持つ2つのproviderブロック、またはモジュールが宣言したエイリアスと一致しない特定のエイリアスを期待している
- 必須フィールドにnull/空の値を渡す — 例:
aws_regionにデフォルト値がなく渡されていない場合のregion = var.aws_region
ステップ1 — 問題のある属性を特定する
まずterraform validateを実行します — planよりもわかりやすいエラーが表示されることが多いです:
terraform validate
エラーメッセージが行番号を示している場合、そのファイルを開いてproviderブロックを確認します。次に実行します:
terraform providers
これは実際にロックされているプロバイダーバージョンを表示します。required_providersブロックと.terraform.lock.hclの内容と比較してください。
ロックファイルを直接確認:
cat .terraform.lock.hcl
バージョンの不一致を確認します — ロックされたバージョンとコードが記述された対象バージョンの比較です。
クイックフィックス — よくあるケース
ケース1:プロバイダーアップグレード後の非推奨属性
AWSプロバイダーv5ではいくつかのレガシー属性が削除されました。v4からv5にアップグレードしてproviderブロックを更新していない場合、このエラーが発生します。コードが問題ないと思い込む前に、プロバイダーの変更履歴で削除された属性を確認してください。
例 — 非推奨属性を削除する:
# 変更前(AWSプロバイダーv5で動作しない)
provider "aws" {
region = var.aws_region
skip_credentials_validation = true # v5で削除済み
skip_requesting_account_id = true # v5で削除済み
}
# 変更後
provider "aws" {
region = var.aws_region
}
ケース2:変数がnullまたは空
null変数の値はこのエラーの見落としやすい原因です。providerブロックが実行時に値のない変数を参照すると、Terraformは検証に失敗しますが、その原因が明確なメッセージとして表示されるとは限りません。
値を明示的に渡してテストします:
terraform plan -var="aws_region=us-east-1"
これで動きましたか?それなら変数が実行時に値を持っていません。デフォルト値を追加するか、CI/CD環境を通じて渡してください:
variable "aws_region" {
type = string
default = "us-east-1" # これを追加
}
ケース3:プロバイダーエイリアスの不一致
エイリアスの不一致は見落としやすいです。プロバイダーエイリアスsecondaryを期待するモジュールは、replicaを渡すと失敗します — Terraformはエイリアス名の完全一致に厳格です。モジュールが期待するものを確認します:
# モジュールが期待するエイリアスを確認する
terraform providers
次にルートモジュールのproviderブロックを正確に一致させます:
provider "aws" {
alias = "secondary" # モジュールが期待するものと完全に一致させること
region = "eu-west-1"
}
module "replication" {
source = "./modules/replication"
providers = {
aws.secondary = aws.secondary
}
}
恒久的な修正 — プロバイダーバージョンを適切にロックする
根本原因はしばしば、サイレントアップグレードされて設定を壊した制約のないプロバイダーバージョンです。常にrequired_providersでプロバイダーをピン留めしてください:
terraform {
required_version = ">= 1.3.0"
required_providers {
aws = {
source = "hashicorp/aws"
version = "~> 5.0" # パッチアップグレードを許可し、メジャーバージョンのジャンプをブロック
}
google = {
source = "hashicorp/google"
version = "~> 5.20"
}
}
}
~>演算子は同一メジャーバージョン内のマイナー/パッチアップグレードを許可します。完全に再現可能なビルドが必要な場合は= 5.31.0を使用してください。
更新後、ロックファイルを再生成するために再初期化します:
terraform init -upgrade
providerブロック構造を確認する
最も一般的なミスを避けるクリーンで最小限のproviderブロックです:
provider "aws" {
region = var.aws_region
# 実際に必要な場合のみ追加してください
# profile = "my-named-profile" # AWS CLIプロファイルを使用したローカル開発用
# assume_role {
# role_arn = "arn:aws:iam::123456789012:role/TerraformRole"
# }
}
最小限に保ってください。古いチュートリアルからproviderブロックをコピーペーストしないでください — 古いプロバイダーバージョンの属性が含まれていることが多く、もはや存在しない場合があります。
修正を確認する
変更後、以下を順番に実行します:
# 1. 再初期化(required_providersを変更した場合は必須)
terraform init
# 2. 設定を検証する
terraform validate
# 3. すべてが機能することを確認するためにplanを実行する
terraform plan
正常なterraform validateの出力は次のようになります:
Success! The configuration is valid.
ヒント
複雑なproviderブロック — 特にネストされたブロックを持つもの — のデバッグは、最初に構造を別々に検証することで簡単になります。Terraformに触れる前に設定が適切な形式かを確認するために、ToolCraftのYAML ↔ JSONコンバーターを使用しています。ブラウザ上で完全に動作し、データはアップロードされません — インフラ設定を扱う際に重要な点です。
身につける価値のある習慣:プロバイダーバージョンをアップグレードするたびに、terraform init -upgradeを実行する前に変更履歴で削除または名前変更された属性をスキャンしてください。プロバイダーのメジャーバージョン(v3→v4→v5)はほぼ常にproviderブロック自体に破壊的変更を含みます。