![[HCP Terraform]Team毎に複数のAPIトークンを生成できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-4cb846fab131f32dfae750ca0329eed7/e12259af17223fd6dfb94f78098dc327/eyecatch_hcpterraform)
[HCP Terraform]Team毎に複数のAPIトークンを生成できるようになりました
2025.04.30HCP Terraformで1つのチームに対して、複数のトークンを生成できるようになりました。
Team Tokenとは
HCP Terraformではユーザーをまとめた単位として、Teamというものがあります。
Teamに対して発行するTokenが、Team Tokenです。
WorkspaceやProjectでは、Teamに対してきめ細かなアクセス制御ができます。
例えばhoge Projectに対して、fuga TeamからのWorkspace作成を許可するといった形で制御できます。
きめ細かなアクセスができて、個々のユーザーに紐づかないため、HCP Terraform上でtfe providerを利用する際に使われることがあります。
何が嬉しい?
- Team Tokenの使用状況を追跡しやすくなった
- Team Tokenのローテーションがしやすくなった
Team Tokenの使用状況を追跡しやすくなった
これまでは、Team毎に1つのTeam Tokenしか発行することができませんでした。
1つのTeamを複数のProjectで使う際に、1つのTeam TokenではどこのProject・Workspaceで使われているか追跡するのが難しいです。
同一権限のTeamを複数作ることで、追跡しやすくすることは可能でした。
しかし、同一権限のTeamを複数作るのは数が多くなると中々大変です。
1チームで複数のTeam Tokenを発行できるようになり、使用状況を追跡しやすくなりました。
Team Tokenのローテーションがしやすくなった
アップデート前は、新しいTeam Token発行時に既存のTokenは期限切れになりました。
そのため、新しいTeam Token発行からVariables Set等へ新しいTeam Tokenを設定するまではWorkspaceの実行が失敗するため、メンテナンスタイムが必要でした。
複数のトークンがサポートされたことで、任意のタイミングで古いTokenを失効できるようになり運用もしやすくなりました。
やってみた
multiple-team-token-testTeamにTokenが発行されている状態で新規にTokenを発行してみます。
Create team tokenを選択します。
以下を設定し、Createを選択します。
Team: multiple-team-token-test
Description: project A
Tokenを作成できました。
3つくらい作ってみましたが、既存Tokenが失効することなく作成できました。
おわりに
ガバナンスをしっかり効かせたい場合に、便利な機能かと思います。
Team Tokenのローテーションがしやすくなったのも嬉しいですね。
以上、AWS事業本部の佐藤(@chari7311)でした。
