ErrorNotes

Sửa lỗi Terraform: No valid credential sources found for provider "aws"

beginner🏗️ Terraform2026-03-17| Terraform >= 0.12, AWS Provider, Linux/macOS/Windows, CI/CD pipelines

Error Message

Error: No valid credential sources found for provider "aws".
#terraform#aws#xác thực#provider#credentials

Lỗi xảy ra

Error: No valid credential sources found for provider "aws".

Please see https://registry.terraform.io/providers/hashicorp/aws/latest/docs#authentication
for more information about providing credentials.

With the provider configuration at ...

Terraform đã tìm kiếm tất cả các nguồn credentials mà nó biết nhưng không tìm thấy gì. Lỗi này thường xảy ra trên máy mới cài đặt, bên trong pipeline CI/CD thiếu secrets, hoặc ngay sau khi bạn chuyển AWS profile mà quên cập nhật biến môi trường.

Nguyên nhân

AWS provider kiểm tra credentials theo thứ tự cố định:

  • Static credentials được hardcode trong provider block
  • Biến môi trường (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY)
  • Shared credentials file (~/.aws/credentials)
  • AWS config file (~/.aws/config)
  • EC2 instance profile / ECS task role / EKS pod identity

Nếu cả năm nguồn đều không có, bạn sẽ gặp lỗi này. Chọn bất kỳ một nguồn nào để khắc phục.

Cách sửa: Nhiều phương án

Phương án 1 — Đặt biến môi trường (Nhanh nhất)

Cách nhanh nhất để gỡ chặn. Export credentials trong shell, sau đó chạy Terraform:

export AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
export AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
export AWS_DEFAULT_REGION="us-east-1"

Trên Windows (PowerShell):

$env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
$env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
$env:AWS_DEFAULT_REGION="us-east-1"

Chạy lại terraform plan là xong.

Phương án 2 — Cấu hình AWS CLI Profile

Đã cài AWS CLI rồi? Tạo một named profile:

aws configure --profile my-profile

Trỏ Terraform tới profile đó qua biến môi trường:

export AWS_PROFILE=my-profile

Hoặc hardcode trong provider block nếu bạn muốn:

provider "aws" {
  region  = "us-east-1"
  profile = "my-profile"
}

Phương án 3 — Credentials File

Kiểm tra xem ~/.aws/credentials có tồn tại và có mục [default] không:

[default]
aws_access_key_id     = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

Cũng xác nhận rằng ~/.aws/config đã có region:

[default]
region = us-east-1

Thiếu một trong hai file này là lỗi phổ biến khi mới cài đặt máy trạm.

Phương án 4 — Assume Role (Phổ biến trong CI/CD)

Nhiều pipeline sử dụng IAM role thay vì các key tồn tại lâu dài. Cấu hình role assumption trong provider block:

provider "aws" {
  region = "us-east-1"

  assume_role {
    role_arn     = "arn:aws:iam::123456789012:role/TerraformRole"
    session_name = "TerraformSession"
  }
}

Lưu ý: base credentials dùng để thực hiện assume-role vẫn cần tồn tại ở đâu đó — biến môi trường hoặc instance profile đều được.

Phương án 5 — EC2/ECS/EKS Instance Profile

Đang chạy Terraform trên tài nguyên compute của AWS? Gắn IAM role vào instance hoặc task. Không cần credentials file — SDK sẽ tự động lấy token ngắn hạn từ metadata service.

Kiểm tra metadata service có phản hồi không:

curl http://169.254.169.254/latest/meta-data/iam/security-credentials/

Nếu trả về tên role, Terraform sẽ tự động sử dụng ở lần chạy tiếp theo.

Phương án 6 — GitHub Actions / Ví dụ CI

Lưu keys dưới dạng repository secrets (Settings → Secrets → Actions), sau đó inject chúng dưới dạng biến môi trường trong workflow step:

- name: Terraform Plan
  env:
    AWS_ACCESS_KEY_ID: ${{ secrets.AWS_ACCESS_KEY_ID }}
    AWS_SECRET_ACCESS_KEY: ${{ secrets.AWS_SECRET_ACCESS_KEY }}
    AWS_DEFAULT_REGION: us-east-1
  run: terraform plan

Xác nhận đã sửa

Trước khi chạy Terraform, xác nhận AWS nhận thấy credentials hợp lệ:

# Kiểm tra credentials đang hoạt động
aws sts get-caller-identity

Phản hồi thành công trông như thế này:

{
    "UserId": "AIDAIOSFODNN7EXAMPLE",
    "Account": "123456789012",
    "Arn": "arn:aws:iam::123456789012:user/terraform-user"
}

Bây giờ chạy Terraform:

terraform init
terraform plan

Nếu thấy resource diff thay vì lỗi credentials nghĩa là bạn đã xử lý xong.

Mẹo hay

  • Thường xuyên rotate key. Static key tồn tại lâu dài là nguyên nhân số 1 gây ra lỗi này trên production — ai đó rotate key mà quên cập nhật CI. Chuyển sang dùng short-lived credentials qua aws sso login hoặc role assumption để tránh hoàn toàn vấn đề này.
  • Pipeline chạy được hôm qua, hôm nay lại lỗi? Kiểm tra xem IAM access key có bị rotate hoặc vô hiệu hóa không. Điều này đặc biệt phổ biến khi team bảo mật áp dụng chính sách rotate key 90 ngày.
  • Nhiều tài khoản AWS? Kiểm tra kỹ xem AWS_PROFILE hoặc tham số profile của provider có trỏ đúng tài khoản không. Nhầm lẫn giữa credentials staging và production là lỗi dễ mắc khi quản lý nhiều tài khoản cùng lúc.
  • Đừng bao giờ commit credentials lên version control. Với các secrets như mật khẩu backend được tham chiếu qua data sources, hãy tạo chúng cục bộ bằng công cụ như Password Generator trên ToolCraft — chạy hoàn toàn trên trình duyệt, không có gì rời khỏi máy bạn.

Related Error Notes

Sửa lỗi Terraform 'AccessDenied: s3:GetObject' khi Refresh State từ S3 Backend

Error refreshing state: AccessDenied: User: arn:aws:iam::123456789:user/ci is not authorized to perform: s3:GetObject on resource

Fix lỗi Terraform 'Duplicate resource': A managed resource has already been declared

A managed resource "aws_s3_bucket" "example" has already been declared at main.tf:5,1-33

Cách sửa lỗi Terraform 'Failed to query available provider packages' – Lỗi kết nối registry.terraform.io

Error: Failed to query available provider packages Could not retrieve the list of available versions for provider hashicorp/aws: could not connect to registry.terraform.io: dial tcp: lookup registry.terraform.io: no such host