現在構築中のCarina provider registry（Carina自身で管理している）でCloudFront + ACMの構成を組んでいて、ACM証明書がISSUEDになるまでCloudFrontの作成を待ちたい、というのが直接のきっかけ。Terraform流の「待ち合わせリソース」をproviderに足すアプローチも検討したけど、結局DSL側にwait構文を入れる方向にした。その経緯と設計について書いておく。

ACM + CloudFrontでの待ち合わせ問題

ACMでDNS検証を使ってCloudFront用の証明書を発行する場合、流れはこうなる。

1. ACM証明書をリクエストする
2. 証明書のレスポンスに含まれる検証情報から、検証用のCNAMEレコードの内容を取得する
3. Route 53にその検証用CNAMEレコードを作る
4. ACMがそのレコードを観測して証明書のステータスをPENDING_VALIDATION → ISSUEDに遷移させる
5. CloudFrontなど下流のリソースがISSUEDになった証明書のARNを使い始める

問題は4と5の間で、証明書がまだISSUEDになっていないうちにCloudFrontの作成が走ってしまうケース。CloudFrontはviewer certificateにISSUED済みの証明書しか受け付けないので、PENDING_VALIDATIONのままの証明書を渡すと作成自体が失敗する。なので「証明書がISSUEDになるまでCloudFrontの作成を止める」という同期点が必要になる。

Terraformではaws_acm_certificate_validationという専用のリソースを介してこれを実現している。

resource "aws_acm_certificate" "cert" {
  domain_name       = "registry.carina-rs.dev"
  validation_method = "DNS"
}

resource "aws_route53_record" "validation" {
  zone_id = aws_route53_zone.zone.id
  name    = tolist(aws_acm_certificate.cert.domain_validation_options)[0].resource_record_name
  type    = tolist(aws_acm_certificate.cert.domain_validation_options)[0].resource_record_type
  records = [tolist(aws_acm_certificate.cert.domain_validation_options)[0].resource_record_value]
  ttl     = 60
}

resource "aws_acm_certificate_validation" "cert" {
  certificate_arn         = aws_acm_certificate.cert.arn
  validation_record_fqdns = [aws_route53_record.validation.fqdn]
}

resource "aws_cloudfront_distribution" "dist" {
  # ...
  viewer_certificate {
    acm_certificate_arn = aws_acm_certificate_validation.cert.certificate_arn
    # 直接 aws_acm_certificate.cert.arn を参照すると ISSUED 前に作成が走る
  }
}

下流のCloudFrontはaws_acm_certificate.cert.arnではなく、aws_acm_certificate_validation.cert.certificate_arnを参照する。aws_acm_certificate_validationが「ISSUEDになるまでブロックする」という役割を担っている。

ただ、このaws_acm_certificate_validationという設計には少し違和感がある。

• AWS側に対応する実リソースが無い。aws_acm_certificate_validationという名前のものがAWSに作られるわけではなく、実体は「証明書がISSUEDになるまで待つ」という処理でしかない。「リソース」と書いてあるのに実体がないので、初見だと何をしているリソースなのか分かりにくい
• 同じパターンが他のサービスでも繰り返される。RDSのavailable待ち、EC2のrunning待ち、LambdaのActive待ち、など、各providerに似たような「待ち合わせ専用リソース」が並ぶことになる

これはaws_acm_certificate_validationに限った話ではなく、Terraformでは「実体のない繋ぎ・待ち合わせ用のリソース」というパターンが広く使われている。time_sleep（指定秒数待つ）、null_resource、terraform_dataあたりが代表例で、いずれもAWS等に対応する実体は無く、依存関係のエッジを足したり処理をフックしたりするためだけに「リソース」の形を借りている。

これ自体は実害があるというより、使う側として「これは何のリソースなんだろう」と一瞬考えさせられる、という類の引っかかり。Terraformのリソースモデルが表現力豊かなので、本来リソースでないものまでリソースの形で書けてしまう、とも言える。

Carinaでも同じく専用リソース (aws.acm.CertificateValidation) を足す手もあったけど、実体のない待ち合わせ処理をリソースとして表現するのは、やはり違和感がある。Terraformと同じ妥協を後発のCarinaでわざわざ持ち込まなくてもいいのでは、と考えて、「待ち合わせ」をDSLの第一級構文として導入することにした。設計の詳細はnotes/specs/2026-05-09-wait-construct-design.mdに書いてある。

Carinaのwait構文

実際の構文はこんな感じ。実際に運用しているACM証明書の定義から抜粋。

let cert = aws.acm.Certificate {
  domain_name       = domain_name
  validation_method = dns
}

let validation_record = aws.route53.RecordSet {
  hosted_zone_id   = zone.id
  name             = cert.domain_validation_options[0].resource_record.name
  type             = cname
  ttl              = 300
  resource_records = [cert.domain_validation_options[0].resource_record.value]
}

let cert_issued = wait cert {
  until      = cert.status == aws.acm.Certificate.Status.issued
  depends_on = [validation_record]
  timeout    = 75min
}

let <name> = wait <target> { ... }という形で、ターゲットとなるリソースのbinding名 (cert) をwaitの直後に置く。ブロックの中には待ち合わせの挙動を指定する属性を書く。

• until — read()の結果がこの述語を満たすまで待つ
• depends_on — pollを始める前に完了させておきたいbinding。任意。指定しなくてもuntilが満たされるまで待つので最終結果は変わらないが、ACMの場合、検証レコードが作られるまではどう頑張ってもISSUEDにならない。その間pollし続けても無駄だし、timeoutのカウントも進んでしまう。検証レコードの作成完了を待ってからpollを始めるよう、depends_on = [validation_record]を指定しておく
• timeout — 待ち時間の上限。省略するとリソースのスキーマで宣言されたデフォルトが使われる。ACM Certificateは75分にしてある。これは特に深い根拠があるわけではなく、Terraformのaws_acm_certificate_validationのデフォルトタイムアウトが75分なので、それに揃えただけ

下流のCloudFrontはcert.certificate_arnではなくcert_issued.certificate_arnを参照する。

let distribution = awscc.cloudfront.Distribution {
  distribution_config = {
    # ...
    viewer_certificate = {
      acm_certificate_arn      = cert_issued.certificate_arn
      ssl_support_method       = sni_only
      minimum_protocol_version = tlsv1_2_2021
    }
  }
}

cert_issuedは値としてはcertのpassthroughで、cert_issued.certificate_arnはcert.certificate_arnと同じ文字列を返す。違うのは依存関係のエッジだけで、cert_issuedを参照したリソースは「certがISSUEDになるまでブロックされる」という同期契約を継承する。

providerには手を入れない

waitの実装はすべてcarina-core側（executor）で行う。providerには手を入れていない。

executorはwaitエフェクトを以下の手順で処理する。

1. depends_onに指定されたエフェクト（ターゲットのCreate/Update、ユーザー指定の追加依存）が完了するまで待つ
2. provider.read(target_id, ...)を呼ぶ
3. 返ってきたState.attributesに対してuntil述語を評価する
4. 真なら成功。そのときのStateスナップショットを下流参照用にキャプチャする
5. 偽なら、経過時間がtimeoutを超えていればタイムアウトエラー、超えていなければintervalだけsleepして2に戻る

providerに対して呼ばれるのは普通のread()だけで、provider側はwaitの存在を知らない。Terraformのように待ち合わせ専用のリソースをproviderごとに実装しなくても、どのproviderのどのリソースでもwaitできる、というのが地味にうれしいポイント。

まとめ

Terraformのaws_acm_certificate_validationとCarinaのwaitの違いを並べるとこんな感じ。

ACM以外にも、EC2のrunning待ち、RDSのavailable待ち、LambdaのActive待ち、など同じパターンが他のサービスでも使える。

ただ、Terraformのremote stateを使っていて気になる点があったので、Carinaでは少し違う設計にしてみた。その違いについて書いておく。

Terraformのremote stateのおさらい

Terraformで別コンポーネントのstateを参照するときは、terraform_remote_state data sourceを使う。

data "terraform_remote_state" "network" {
  backend = "s3"
  config = {
    bucket = "my-tfstate"
    key    = "network/terraform.tfstate"
    region = "ap-northeast-1"
  }
}

resource "aws_security_group" "web" {
  vpc_id = data.terraform_remote_state.network.outputs.vpc_id
}

参照元のoutputsをdata.terraform_remote_state.network.outputs.vpc_idのような形で読む。参照される側はoutputブロックで値を公開する。

使っていて気になる点がいくつかある。

参照する側がbackendの設定を知っている必要がある

networkコンポーネントのbackendがS3なのか、バケット名は何か、キーは何か、といった情報を、それを使うweb側のコードにも書く必要がある。参照元のnetwork側ではこう書いて、

# network/main.tf
terraform {
  backend "s3" {
    bucket = "my-tfstate"
    key    = "network/terraform.tfstate"
  }
}

参照する側のweb側ではこう書く。

# web/main.tf
data "terraform_remote_state" "network" {
  backend = "s3"
  config = {
    bucket = "my-tfstate"
    key    = "network/terraform.tfstate"
  }
}

bucketとkeyが両方に登場しているのが分かる。実質的に同じ情報を二重管理している状態になる。

呼び出すのに長い文字列を書く必要がある

参照するときの記述がdata.terraform_remote_state.network.outputs.vpc_idとなって、なかなか長い。data.terraform_remote_state.と.outputs.が毎回ついてくる。

複数の値を参照していると、この長い名前があちこちに出てきて冗長になる。localsで別名をつけて短くする、みたいな回避策を取ることになる。

補完が効かない

outputsの中身は実際のstateを読まないと分からないので、エディタで補完が効かない。

補完が効かないので、typoしても実行するまで気付けない。terraform validateは実際のremote stateを読まずに構文チェックだけするので、ここでは検出されない。別コンポーネントでoutputの名前を変えたときに、参照側が壊れていることをplanやapplyのタイミングで初めて知ることになる。

参照元が未applyだとplanできない

共通の通知基盤となるSNS topicをmonitoringコンポーネントで管理し、各サービス側のCloudWatchアラームからそのtopicを参照する、という構成を考える。

monitoring側に新しい通知先（たとえばcritical_alerts_topic_arn）を追加し、同じPRでweb側の新しいアラームからそれを参照する、というPRを出したとする。

# monitoring/main.tf
resource "aws_sns_topic" "critical_alerts" {
  name = "critical-alerts"
}

output "critical_alerts_topic_arn" {
  value = aws_sns_topic.critical_alerts.arn
}

# web/main.tf
resource "aws_cloudwatch_metric_alarm" "web_5xx" {
  alarm_name  = "web-5xx"
  metric_name = "5XXError"
  # ...

  alarm_actions = [
    data.terraform_remote_state.monitoring.outputs.critical_alerts_topic_arn,
  ]
}

このPRをCIでplanにかけると、monitoring側がまだapplyされていないので新しいoutputがstateに存在せず、web側のplanはエラーになる。

planエラーを回避したい場合、以下のようにtry()でフォールバックする、という手もある。

alarm_actions = try(
  [data.terraform_remote_state.monitoring.outputs.critical_alerts_topic_arn],
  [],
)

ただ、これだとPRレビュー時に見えるplanはalarm_actions = []になり、monitoringをapplyした後の本来のplanとは異なる。

結局、monitoring側のPRとweb側のPRを2回に分けてマージする、という対応になりがち。

そもそもremote stateで参照するほど密に依存しているなら、コンポーネントを分割している設計自体を見直したほうがいいケースもある。ただ、stateを分けざるを得ない事情（チーム境界、applyの責任範囲、リソースへのアクセス権限を分けたい都合など）もあり、そういう場合はこの面倒さと付き合うしかない。

remote stateの代わりに、data sourceで名前やタグから引く、という方法もある。これだとremote stateのように「outputが追加されたか」は気にしなくていい。ただし結局、参照先のリソースが実在していないとdata sourceの読み込みに失敗するので、upstreamを先にapplyする必要があるのは変わらない。

さらにdata sourceはstateではなく実際のAWS APIを叩いてリソース情報を取得するので、参照が増えるとstate refreshが遅くなる。どちらを取るかは悩ましい。

Carinaのupstream_state

Carinaでは、参照する側はupstreamコンポーネントのディレクトリを指すだけにした。

let network = upstream_state {
  source = '../network'
}

awscc.ec2.SecurityGroup {
  group_description = 'Web security group'
  vpc_id            = network.vpc_id

  tags = {
    Name = 'web-sg'
  }
}

sourceはupstreamコンポーネントのディレクトリで、.crnファイルからの相対パスで解決される。letで束縛した名前（この例ではnetwork）を通じて、upstream側が公開している値にアクセスできる。

ディレクトリ参照なので、別リポジトリにあるコンポーネントを参照するにはsubtreeで取り込むなどの工夫がいる。自分にはリポジトリをまたいでstateを参照したいニーズがないので、いまはこれで割り切っている。必要になったらそのとき考える。

公開する側はこんな感じ。

backend s3 {
  bucket = 'my-carina-state'
  key    = 'network/carina.state.json'
}

let main = awscc.ec2.Vpc {
  cidr_block = '10.0.0.0/16'
}

exports {
  vpc_id = main.vpc_id
}

exportsブロックで公開したい値を宣言する。Terraformのoutputブロックに相当する。型は自動的に推論されるので、この例ではvpc_idはVpcId型として公開される。

Terraformと違うところ

先に挙げた4つの点が、それぞれupstream_stateではどうなっているかを書いていく。

backend設定を書かなくていい

参照する側に書くのはsource（ディレクトリ）だけ。backend設定は書かない。

# web/main.crn
let network = upstream_state {
  source = '../network'
}

Carinaはsourceで指定されたディレクトリの.crnファイルを読み込み、そこに書かれているbackendブロックを解決し、stateを読み出す。

# network/main.crn
backend s3 {
  bucket = 'my-carina-state'
  key    = 'network/carina.state.json'
}

つまり、backendの場所を知っているのはupstream側だけで、参照する側はそれを意識しなくていい。

ディレクトリ参照なので、LSPでパス補完が効く。さらに、存在しないパスを指定した場合はcarina validateの時点でエラーになる。エディタ上でも赤線で知らせてくれる。

いっぽうTerraformのterraform_remote_stateのconfigは、bucket名やkeyをtypoしていても構文的には通るので、planを実行してbackendを叩きに行くまで間違いに気付けない。

呼び出しが短い

let network = upstream_state { source = '../network' }と束縛しておけば、参照はnetwork.vpc_idで済む。data.terraform_remote_state.や.outputs.のような定型的な部分がない。

letで束縛する名前は自由につけられるので、短くしたければnetでも何でもいい。

補完が効く

upstream_stateはsourceでupstreamのディレクトリを指しているので、Carinaはupstreamの.crnファイルを直接読める。stateを読まずとも、exportsブロックの宣言だけで、何が公開されているかが分かる。

さらにCarinaのDSLは静的な型を持っているので、exportsで公開される値にも型がつく。型がついていれば、参照側で必要としている型と照合できる。

たとえば参照側でawscc.ec2.SecurityGroupのvpc_id（型はVpcId）を埋めようとすると、同じVpcId型を持つupstreamのexportsがLSPの補完候補に上がってくる。

存在しないexportを参照すればエラーになる。typoしている場合は近い名前の候補も提示される。

型が合わない場合もエラーになる（vpc_id: String = main.vpc_idのように型アノテーションをつけた場合の例）。

未定義のexport参照や型不一致はcarina validateでもエラーになるので、planやapplyを待たずに検出できる。sourceパスが存在しない場合も同様にcarina validateで検出される。

参照元が未applyでもplanできる

carina validateはstateの内容は見ず、正しい型でexportされているかどうかだけをチェックするので、参照元が未applyでも当然動く。ではplanの場合はどうか。

upstream側のstate自体がまだ存在しない状態でplanを実行すると、こんな出力になる。

Warning: upstream_state 'network': no state found at /path/to/network;
dependent values will display as `(known after upstream apply: ...)`

Refreshing state...
  ✓ awscc.ec2.SecurityGroup.ec2_security_group_39f08cea [0.0s]

Execution Plan:

  + awscc.ec2.SecurityGroup ec2_security_group_39f08cea
      group_description: "Web security group"
      tags:
        Name: "web-sg"
      vpc_id: (known after upstream apply: network.vpc_id)
      group_id: (known after apply)
      id: (known after apply)

Plan: 1 to add, 0 to change, 0 to destroy.

upstream側のstateが無くてもplanは止まらず、参照値は(known after upstream apply: network.vpc_id)というプレースホルダで表示される。「この値はupstreamをapplyすれば確定する」というのがplan時点で見える。

upstream側のstateは存在するが、新しいexport値がまだ入っていない（exportを追加してまだ再applyしていない）場合も、Warningが出ないだけで参照値は同じプレースホルダで表示される。

Refreshing state...
  ✓ awscc.ec2.SecurityGroup.ec2_security_group_39f08cea [0.0s]

Execution Plan:

  + awscc.ec2.SecurityGroup ec2_security_group_39f08cea
      group_description: "Web security group"
      tags:
        Name: "web-sg"
      vpc_id: (known after upstream apply: network.vpc_id)
      group_id: (known after apply)
      id: (known after apply)

Plan: 1 to add, 0 to change, 0 to destroy.

Terraformでは参照先のstateが無いとremote stateの読み込みで失敗してplan自体が出せないが、Carinaはプレースホルダで表示するので、planは出せる。前述のtry()での回避策のように「実際とは違うplan」が表示されるわけでもない。upstreamをapplyした後にもう一度planを取れば、プレースホルダが実際の値に置き換わるだけ。

まとめ

Terraformのremote stateで気になる点と、Carinaのupstream_stateでの対応を並べるとこんな感じ。

以前、AWS Cloud Control APIは遅い？という記事で、Cloud Control APIが直接SDKを叩くより大幅に遅いことを書いた。あの時点では「Carinaでの採用はやめた」と書いたが、その後、統一的なインターフェースのメリットからawscc providerとして復活させた。今回は、両方のproviderが揃ったので、実際のCarina上でのベンチマークを取った。

計測環境

• リージョン: ap-northeast-1
• 各操作3回実行の平均値
• Carinaのオーバーヘッド（パース、diff、state I/O）を含む

単一リソースの比較

単一リソースだと、以前の記事と同じ傾向。Createで8-14倍、Destroyで6-10倍、Readで1.5-2.4倍の差がある。Cloud Control APIのresource stabilization（リソースの安定化待ち）が主な原因。

複数リソースの比較

単一リソースの比較だけだと実運用のパフォーマンスはわからない。実際のインフラは複数のリソースが依存関係を持って構成される。そこで、VPC + サブネット + ルートテーブル + NAT Gateway + セキュリティグループなど、16リソースで構成されるVPCまわり一式でもベンチマークを取った。

単一リソースでは8-14倍の差があったのが、16リソースになると1.2倍まで縮まった。

なぜ差が縮まるのか

Carinaは依存関係のないリソースを並列に実行する。16リソースのうち、互いに依存しないものは同時にAPIを叩く。すると、ボトルネックは個々のAPI呼び出しの速度ではなく、依存チェーンの中で最も遅いリソースになる。この構成ではNAT Gatewayの作成（約90秒）がボトルネックで、これはawsでもawsccでも同じ。

つまり、並列実行が個々のAPIの遅さを吸収してしまう。

まとめ

• 単一リソースではaws providerが圧倒的に速い（8-14倍）
• 複数リソースの実運用シナリオでは差が1.2倍まで縮まる
• carina planはReadが主なので、aws providerが1.5-2倍速い

単一リソースの数字だけ見るとawscc providerは使い物にならないように見えるが、実運用では並列実行のおかげで差はかなり小さい。awscc providerはCloudFormationスキーマからの自動生成でカバレッジが広いというメリットがあるので、パフォーマンスだけで選ぶ必要はない。

Terraformのprovider plugin

Terraformのproviderは、go-pluginというフレームワークを使って、外部プロセスとして動作する。Terraform本体がproviderのバイナリを子プロセスとして起動し、gRPCで通信する仕組みになっている。

Carinaでも同じ方式で実装した

Carinaでは当初、providerのコードがcarina-cli本体に直接組み込まれていた。これをTerraformと同じアプローチで外部プロセスに分離した。providerを子プロセスとして起動し、stdin/stdoutでJSON-RPCを使って通信する方式。

Carina (Host)                    Provider (Child Process)
    |                                    |
    |-- spawn process ------------------>|
    |                                    |-- ready
    |-- JSON-RPC: {"method":"create"} -->|
    |                                    |-- calls AWS SDK directly
    |<-- JSON-RPC: {"result": State} ----|
    |                                    |
    |-- JSON-RPC: {"method":"shutdown"}->|
    |                                    |-- exit

実装は3つのクレートに分けた。

• carina-plugin-host — プロセスの起動とJSON-RPCクライアント
• carina-plugin-sdk — provider開発者向けのSDK。CarinaProviderトレイトを実装してcarina_plugin_sdk::run()を呼ぶだけでproviderになる
• carina-provider-protocol — JSON-RPCメッセージの型定義

この方式で、aws providerとawscc providerをそれぞれ外部プロセスとして動作させるところまで実装した。

Wasmへの移行

プロセスベースで動くようにはなったが、Wasmに興味があったので、providerをWasmに移行することにした。

carina-cli
  └── WasmProviderFactory (carina-plugin-host)
        └── Wasmtime runtime
              └── Wasm Component (.wasm)
                    ├── CarinaProvider WIT interface
                    └── wasi:http/outgoing-handler (AWS API呼び出し用)

実用的なメリットもある。OS/arch別の6+バイナリが単一の.wasmファイルになるので、配布が楽になる。WASIのサンドボックスにより、providerのファイルシステムやネットワークアクセスを制限できるのもいい。

WIT (Wasm Interface Types) によるインターフェース定義

プロセスベースではJSON-RPCでメッセージを交換していたが、WasmではWITでインターフェースを定義する。

interface provider {
    use types.{ resource-id, state, resource-def, value };

    info: func() -> string;
    schemas: func() -> string;

    validate-config: func(attrs: list<tuple<string, value>>) -> result<_, string>;
    initialize: func(attrs: list<tuple<string, value>>) -> result<_, string>;

    read: func(id: resource-id, identifier: option<string>) -> result<state, string>;
    create: func(res: resource-def) -> result<state, string>;
    update: func(id: resource-id, identifier: string, current: state, to: resource-def) -> result<state, string>;
    delete: func(id: resource-id, identifier: string, options: string) -> result<_, string>;
}

プロセスベースのJSON-RPCと比べると、通信プロトコル自体がWITで定義されるようになった。ただし、WITは再帰的な型をサポートしていないため、ListやMapの値はJSON文字列としてやり取りしている。

WasmからのHTTPアクセス

Wasmはサンドボックス環境なので、OSのシステムコール（TCPソケットなど）に直接アクセスできない。ネイティブのHTTPクライアントはOSのソケットAPIに依存しているため、そのままではWasm内で動かない。

代わりに、WASIが提供するwasi:http/outgoing-handlerというインターフェースを使う。provider内のHTTPリクエストはこのインターフェースを通じてホスト側に委譲され、ホスト側が実際のHTTP通信を行う。

graph LR
    subgraph "Wasm Sandbox"
        A["AWS SDK\ns3_client.get_object()"] --> B["WasiHttpClient"]
    end
    subgraph "Host (Carina)"
        B -->|"wasi:http/outgoing-handler"| C["Wasmtime HTTP実装"]
    end
    C --> D["AWS API\n.amazonaws.com"]

AWS SDKはHTTPクライアントを差し替え可能な設計になっているので、#[cfg(target_arch = "wasm32")]で条件分岐し、Wasmビルド時だけwasi:http/outgoing-handlerを使うWasiHttpClientを差し込んでいる。

#[cfg(not(target_arch = "wasm32"))]
async fn build_config(region: &str) -> aws_config::SdkConfig {
    aws_config::defaults(aws_config::BehaviorVersion::latest())
        .region(Region::new(region.to_string()))
        .load()
        .await
}

#[cfg(target_arch = "wasm32")]
async fn build_config(region: &str) -> aws_config::SdkConfig {
    use carina_plugin_sdk::wasi_http::WasiHttpClient;
    aws_config::defaults(aws_config::BehaviorVersion::latest())
        .region(Region::new(region.to_string()))
        .http_client(WasiHttpClient::new())
        .load()
        .await
}

この差し替えだけで、AWS SDKの呼び出しコード（s3_client.get_object()など）自体は変更不要。

通信がすべてホスト側を経由するということは、ホスト側でアクセス先を制御できるということでもある。

Carina側で追加している制限

プロセスベースの方式では、providerはネイティブバイナリとして動作するので、ファイルシステムやネットワークに自由にアクセスできる。ホスト側でそれを制限する手段がない。Wasmに移行したことで、providerに対して以下のような制限をかけられるようになった。

• HTTP許可リスト — .amazonaws.comドメインとEC2/ECSメタデータエンドポイントのみアクセス可能
• メモリ制限 — 256MB上限
• タイムアウト — 各操作に30秒のepochベースタイムアウト
• ソケット排除 — wasi:socketsは提供しない
• 環境変数 — AWS認証情報関連のみ許可リストで公開

ファイルシステムアクセスも一切許可していない。AWSの認証情報はホスト側で取得し、環境変数としてWasm環境に明示的に渡す。

プリコンパイルキャッシュ

Wasmの初回ロードは.wasmファイルのコンパイルが必要だが、2回目以降はプリコンパイル済みの.cwasmファイルをキャッシュして使う。

~/.carina/providers/
  └── github.com/carina-rs/carina-provider-aws/
      └── v0.5.0/
          ├── carina-provider-aws.wasm      # オリジナル
          └── carina-provider-aws.cwasm     # プリコンパイル済み

.cwasmはWasmtimeのバージョンに依存するので、Wasmtimeのバージョンが変わったら再生成する。

現状

現時点では、aws providerとawscc providerの両方がWasmで動作している。プロセスベースの実装はすでに削除済み。

Wasmへの移行は単純に技術的な興味からだったが、結果的にサンドボックスによるセキュリティが手に入ったのはよい副産物だった。サードパーティproviderを受け入れる上で、providerのコードが任意のファイルやネットワークにアクセスできないことが保証されているのは安心感がある。

領収書と10年分の決算報告書。領収書はこれ以外にもたくさんある。法人化してからの年月が物理的に可視化されている棚。

4月1日に備忘録的にふりかえりエントリを書いていたが、前回 から5年も空いてしまった。

フリーランスになったのが2014年4月なので、フリーランスとしては12年。フリーランスになって2年が経った で書いたように2016年2月に法人登記したので、法人化してからは10年が経ったことになる。フリーランス12年より法人化10年の方がキリがいいので、今回はそちらをタイトルにした。

12年続いている理由

僕がフリーランスを続けなかった構造的な理由 というすてぃおさんの記事との対比で書いてみる。すてぃおさんが1年半のフリーランス経験を経て、業務委託として働くスタイルを長期的にはオススメできない、と書いていて、構造的な問題として挙げられているのは以下の3つ。

1. 挑戦させてもらいづらい
2. 社会的な評価が蓄積されにくい
3. マネジメントや組織の意思決定に関われない

加えて、「即戦力の罠」によるスキルの切り売り感や、社会資本が蓄積されにくい、といった問題も挙げられている。例外として「希少人材」であれば構造を超えられる可能性がある、とも。

自分は12年続いている側なので、それぞれについて書いてみる。

まず「挑戦させてもらいづらい」について。自分の場合、経験のないプログラミング言語や技術領域の仕事を任せてもらうこともある。なので、この問題はあてはまらない。「確実にできることしか任せてもらえない」という状況にはなっていない。また、同じ技術領域であっても会社によって解決したい課題は異なるので、そういう意味でも新しい経験は得られている。同様に「即戦力の罠」によるスキルの切り売り感もあまりない。

「社会的な評価が蓄積されにくい」については、もう十分蓄積されているので、これ以上蓄積しなくてもよさそう、というのが正直なところ。

「マネジメントや組織の意思決定に関われない」については、むしろマネジメントしたくないからフリーランスをやっている。これはデメリットではなく、自分にとってはメリット。

「社会資本が蓄積されない」については、自分の場合、そもそも信頼関係や評判の基盤が会社ではなくオープンな技術コミュニティにあるので、契約が終わったらリセットされる、ということがない。

元記事では「希少人材であれば構造を超えられる」とあるが、まあ、自分はそこに該当するのだと思う。自分で言うのもどうかと思うけど、12年続いているという事実がそれを裏付けているのだろう。

ただ、元記事の主張自体は理解できる。自分のケースが一般化できるとは思っていない。

関連エントリ

• 大学院に入学した/フリーランスになって7年が経った - Gosuke Miyashita
• フリーランスになって5年が経った - Gosuke Miyashita
• フリーランスになって4年が経った - Gosuke Miyashita
• フリーランスになって3年が経った - Gosuke Miyashita
• フリーランスになって2年が経った - Gosuke Miyashita
• フリーランスになって1年が経った - Gosuke Miyashita

Terraformのシークレット問題

Terraformにおけるシークレット管理は長年の課題だった。GitHub issue #516は2014年10月に作成され、250以上のコメントがついている。

問題の根本は、Terraformのstateにシークレットが平文で保存されることにある。sensitiveフラグをつけても、plan出力がマスクされるだけで、stateには平文のまま残る。aws_kms_secretsデータソースを使っても、復号結果はstateに平文で保存される。

この問題に対してTerraformは段階的に対処してきた。

• sensitive（Terraform 0.14、2020年）: plan出力のマスク。stateは平文のまま
• ephemeral（Terraform 1.10、2024年11月）: stateに一切保存しない値。ephemeralリソースやephemeral変数として使う
• write-only（Terraform 1.11、2025年3月）: リソース属性の値をstateに保存しない仕組み

問題提起から約10年かけて、ようやく「stateに保存しない」という本質的な解決策にたどり着いた形になる。

Terraformのwrite-only

write-onlyはTerraform 1.11で導入された仕組みで、リソースの属性値をstateに一切保存しないようにする。例えばSSM Parameterにシークレットを保存する場合、従来は値がstateに平文で残っていたが、write-onlyを使うとこうなる。

data "aws_kms_secrets" "example" {
  secret {
    name    = "db_password"
    payload = "AQICAHh..."
  }
}

resource "aws_ssm_parameter" "db_password" {
  name             = "/myapp/db_password"
  type             = "SecureString"
  value_wo         = data.aws_kms_secrets.example.plaintext["db_password"]
  value_wo_version = 1
}

stateに値を保存しないので安全だが、代わりに変更検知ができなくなるという問題がある。そこでvalue_wo_versionという数値を手動で管理する。値を変更したらこれを1から2にインクリメントする。Terraformはこのバージョン番号の変更を検知して、プロバイダーに新しい値を送る。

実際にversionを変更してplanすると、こうなる。

  # aws_ssm_parameter.db_password will be updated in-place
  ~ resource "aws_ssm_parameter" "db_password" {
      ~ has_value_wo     = true -> (known after apply)
        id               = "/tf-write-only-test/db_password"
        name             = "/tf-write-only-test/db_password"
      ~ value_wo_version = 1 -> 2
        # (12 unchanged attributes hidden)
    }

value_wo_versionの変更は表示されるが、value_wo自体の値や変更内容は一切表示されない。

この設計にはいくつかの問題がある。

• バージョンのインクリメントを忘れると、実際の値が変わっていてもTerraformは変更を検知しない
• リソースタイプごとに個別にwrite-only対応が必要で、対応はまだ一部のリソースに限られる
• _woサフィックスの命名規則により、既存の属性名とは別の属性が必要になる

なお、プラグインフレームワークのドキュメントでは、private stateにハッシュを保存して変更を検知するアプローチもベストプラクティスとして紹介されている。ただし、少なくともAWS providerでは現時点ではこの方式は採用されていないようだ。

Carinaのsecret() + decrypt()

Carinaでは同じことをsecret()（#1238）とdecrypt()（#1240）の組み合わせで実現する。

awscc.ssm.parameter {
  name  = "/myapp/db_password"
  type  = "SecureString"
  value = secret(decrypt("AQICAHh..."))
}

decrypt()はapply時にプロバイダーの暗号化サービス（AWS KMS等）を使って復号する。secret()で包むことで、復号後の値はstateにハッシュとしてのみ保存される。

secret()の動作は以下の通り。

• apply時: secret()をアンラップして実際の値をプロバイダーに送る
• state: 値そのものではなくArgon2idハッシュのみを保存する。ソルトはリソースタイプ・リソース名・属性キーから生成するので、同じ値でもリソースごとに異なるハッシュになる
• plan出力: 値の代わりに(secret)と表示する。変更時は(secret) → (secret)と表示され、値は見えないが変更があったことはわかる
• diff: ハッシュの比較で変更を自動検知する

Terraformのwrite-onlyとの違いをまとめると以下の通り。

• ハッシュをstateに保存することで変更検知を自動化。バージョン番号を手動で管理する必要がない
• ハッシュから元の値を復元することはできないので、stateからシークレットが漏洩するリスクもない
• secret()は組み込み関数なので、プロバイダー側の個別対応は不要。どのリソースのどの属性にも使える
• Terraformでは復号用のデータソースを別途定義する必要があるが、Carinaでは属性値に直接書ける
• decrypt()はプロバイダー非依存の設計で、AWS KMS、GCP Cloud KMS、Azure Key Vaultなどプロバイダーの暗号化サービスに自動的に委譲する予定

env()との組み合わせ

暗号文を.crnファイルに書きたくない場合は、env()関数（#1239、実装済み）で環境変数から渡すこともできる。

awscc.rds.db_instance {
  master_password = secret(env("DB_PASSWORD"))
}

設計の違いまとめ

Carinaのシークレット管理は、secret()とdecrypt()の2つの関数で実現する。

• secret(value) — 値をシークレットとしてマーク。stateにはハッシュのみ保存
• decrypt(ciphertext) — プロバイダーの暗号化サービスで復号

これらにenv()のような汎用関数を組み合わせることもできる。それぞれが単一の責務を持ち、自由に組み合わせられる。Terraformではsensitive、ephemeral、write-only、aws_kms_secretsデータソースと、歴史的経緯から複数の仕組みが並立している。Carinaは後発の利点を活かして、最初からシンプルな設計にできた、と思う。

ただし、これはあくまで現段階の設計であり、より安全で良い方法が見つかれば変更する可能性はある。

スナップショットテストの導入

plan表示の改善を始める前に、まずテストの仕組みを整えた。plan表示は目視で確認するのが面倒だし、変更のたびに既存の表示が壊れていないか確認するのも大変なので、instaを使ったスナップショットテストを導入した。

仕組みはシンプルで、テスト用の.crnファイル（とオプションでstateファイル）をfixtureとして用意し、それに対してformat_plan()を実行した結果をスナップショットとして保存する。テスト実行時にスナップショットと一致しなければ失敗する。表示を変更した場合はcargo insta reviewで差分を確認してスナップショットを更新すれば良い。

plan表示はANSIカラーコードを含むので、スナップショットの可読性のためにカラーコードをstripしてからスナップショットに保存している。

これにより、表示の改善を安心してガンガン進められるようになった。実際のスナップショットはこちらにあるので、どんな表示になるのかはここを見るとわかる。

依存関係のツリー表示

Terraformのterraform planはリソースをフラットなリストで表示する。リソース間に依存関係があっても、出力上はすべて同じ階層にフラットに並ぶ。さらにリソース名のアルファベット順でソートされるので、依存関係のあるリソース同士が離れた位置に表示されることもある。結果として、どのリソースがどのリソースに依存しているかは人間が属性値を見て判断する必要がある。

Carinaではリソース間の依存関係をツリー構造で表示するようにした。

VPCの下にroute_tableとsubnetがぶら下がっているのが視覚的にわかる。Create、Update、Destroyが混在する場合でも、依存関係の中で何が起きるかがひと目でわかる。

read-only属性の表示

リソースを作成する際、ARNやIDのようなread-only属性はAWS側が自動的に割り当てる。以前のplan表示ではこれらは完全に省略されていたが、Terraformと同様に(known after apply)として表示するようにした。

これにより、リソース作成後にどんな属性が生えてくるのかがplanの時点でわかるようになった。

デフォルト値の表示

スキーマにデフォルト値が定義されている属性も、ユーザが明示的に指定していなければplanに表示されていなかった。これを# defaultアノテーション付きで表示するようにした。

ユーザが指定した属性、デフォルト値が適用される属性、apply後に確定するread-only属性、という3層が一目でわかる。

未変更属性のサマリ表示

Update/Replaceの際、変更されない属性がいくつあるかを# (3 unchanged attributes hidden)のようなサマリ行で表示するようにした。

--detailフラグによる表示レベルの制御

--detailフラグで表示レベルを制御できるようにした。3つのモードがある。

• full（デフォルト）: すべての属性を表示。未変更・デフォルト・read-onlyも含む
• explicit: ユーザが.crnファイルで明示的に指定した属性のみ表示
• none: リソース名と依存ツリーのみ表示

デフォルトの--detail fullだとこう。

--detail explicitだとこうなる。

--detail noneだとリソース名と依存ツリーのみになる。リソース数が多いときに全体の構造だけさくっと確認したい場合に便利。

TUI（Terminal UI）の追加

CLIの表示とは別に、--tuiフラグでTUI（Terminal UI）も使えるようにした。ratatuiとcrosstermで実装している。

主な機能は以下の通り。

• ツリービュー + 詳細パネル: 画面の70%がリソースの依存関係ツリー、30%が選択したリソースの属性詳細。Tabキーでパネル間を切り替える
• 検索・フィルタ: /キーで検索モードに入り、リソース名やタイプでフィルタ。Tabキーで補完、n/Nでマッチ間を移動
• リソース参照ナビゲーション: 詳細パネルでvpc_id: vpc.vpc_idのようなリソース参照をEnterキーで辿れる。Backspaceで戻る
• 色分け: Create（緑）、Update（黄）、Replace（マゼンタ）、Delete（赤）で操作の種類が一目でわかる

これらの改善は、Terraformのplan表示を参考にしつつ、ツリー表示やTUIのようなCarina独自の機能も加えている。applyする前にリソースの全体像を把握しやすくなった。

この1ヶ月でやったことを振り返っておく。

AWS providerの本格整備

aws providerは以前からあったが、スキーマの手書き部分が多く、テストも不十分だった。この1ヶ月で本格的に整備した。

まず、Smithyモデルからスキーマを自動生成する仕組みを入れた（#461）。awscc providerのCloudFormationスキーマからの自動生成と同じ考え方で、AWS SDKの元になっているSmithyモデルから、リソーススキーマとread関数を自動生成する。手書きのスキーマは信用できないので、できるだけ自動生成に寄せていきたい。

Acceptance testの拡充

AWS providerとAWSCC providerの両方で、acceptance testを大幅に増やした。前回の記事時点ではAWSCC providerの39ファイルだけだったが、AWS providerのテスト追加とシナリオの拡充で172ファイルになった（AWSCC: 120、AWS: 52）。基本的なCRUDに加えて、タグの削除、in-place update、create-before-destroy、属性の削除といったシナリオを整備している。

特に大きかったのは、in-place updateのテストの追加。リソースを作成した後、属性を変更してもう一度applyし、replaceではなくin-place updateが正しく行われることを確認するテスト。これを入れたことで、AWSCC providerのupdate処理にあったバグが大量に見つかった。

• Cloud Control APIのupdate用patch documentにread-onlyプロパティが含まれていた（#807）
• create-onlyプロパティもpatchに含まれていた（#810）
• JSON Patchのreplaceではなくaddオペレーションを使うべきだった（#795）
• 変更のない属性もpatchに含まれていた（#737）
• 属性の削除がpatchに反映されていなかった（#736）

multi-stepテスト（create → update → destroy）のインフラも整備した。テストスクリプトのシグナルハンドリング（#793）、destroy失敗時の検出（#855）、orphanedリソースの防止（#812）など、テストの信頼性を上げるための改善も多い。

Anonymous resourceの識別と置き換え

Carinaでは、Terraformと異なり、リソースに名前をつけなくてもよい。

# Terraformだと aws_vpc.main のように名前が必要だが、Carinaでは不要
awscc.ec2_vpc {
  cidr_block = "10.0.0.0/16"
}

ただし、内部的には.crnファイルに書かれたリソースとstateに保存されたリソースを突き合わせるためのidentifierが必要になる。Terraformは人間がつけた名前（aws_vpc.mainのmainの部分）をidentifierとして使うが、Carinaのanonymous resourceにはそれがない。

そこで、スキーマのcreate-onlyプロパティ（作成後に変更できない属性）の値からハッシュを計算してidentifierとしている。ただ、create-onlyプロパティが変更された場合、ハッシュが変わってidentifierも変わる。するとdifferは、.crnファイルにある「新しいidentifierのリソース」とstateにある「古いidentifierのリソース」を同じリソースだと認識できず、「新しいリソースの作成」と「古いリソースの削除」という無関係な2つの操作として扱ってしまう。本来は「同じリソースの置き換え（Replace）」として認識させる必要がある。

そこで、reconcile_anonymous_identifiers()という仕組みを入れた（#540）。create-onlyプロパティの一部が一致し一部が異なる場合、同じリソースの変更であると判定し、stateにある旧identifierを引き継ぐことでReplaceとして扱う。

さらに、create-onlyプロパティを持たないリソース（EC2 EIPなど）に対しては、全属性のSimHash（locality-sensitive hash）をidentifierとして使うようにした（#592）。通常のハッシュは1ビットでも入力が変わると出力が大きく変わるが、SimHashは入力の類似度を保存する。属性を1つ変更しても数ビットしか変わらないので、Hamming距離で同一リソースかどうかを判定できる。ただし、tagsのようなMap属性をそのまま1つのfeature（ハッシュの入力単位）としてハッシュすると、tag1つの変更でも相対的な変化が大きくなりすぎて閾値を超えてしまう問題があった。Map/List値を個々のエントリに展開（flatten）してそれぞれ別のfeatureとすることで修正した（#885）。

Terraformにはanonymous resourceの概念がないので、Carina独自の設計判断が多く、バグも出やすい領域だった。

Create-before-destroyの名前衝突回避とカスケード更新

リソースのReplace（置き換え）を実行するcreate-before-destroyでも、Terraformにはない仕組みを入れた。

Terraformではcreate-before-destroyの際、名前の衝突は人間がname_prefix等で回避する必要がある。Carinaでは、リソースのname_attribute（S3ならbucket_name、IAMならrole_name）をスキーマから自動判定し、replaceの際に一時名を自動生成する（#405）。名前がupdatable（create-onlyでない）なら、旧リソース削除後に本来の名前にリネームする。create-onlyな場合はリネームできないので一時名のまま残る。

依存リソースのカスケードアップデートも入れた（#404）。create-before-destroyでは「新リソース作成→依存リソース更新→旧リソース削除」という順序で実行する必要があるが、この中間ステップの依存リソース更新をdifferが依存グラフから検出してplanに含める。

LSPの強化

エディタ上での開発体験を良くするために、LSP（Language Server Protocol）まわりを大幅に改善した。

• プロバイダーブロックの補完（#899）
• リソース参照の型ベース補完（#914） — route_table_idに対してRouteTableを返すリソースだけを候補に出す
• read-only属性をリソースブロック内の補完候補から除外（#921）
• 属性ホバーで間違った説明を表示していた問題の修正（#924）
• 未定義参照の検出強化（#871）
• 重複letバインディングの検出（#916）
• 未使用letバインディングの警告（#530）
• ネストされたstructブロックの任意深さでの補完・診断（#400、#402）
• 非ASCII文字によるbyte/charインデックスのずれの修正（#666）

コード生成の強化

CloudFormationスキーマとSmithyモデルからのコード生成器（codegen）に、バリデーション制約のサポートを追加した。文字列長（minLength/maxLength）、配列長（minItems/maxItems）、正規表現パターン、フォーマット制約（int64、URIなど）、デフォルト値、複数制約の合成（pattern + lengthなど）をサポートしている（#628〜#636）。

これにより、carina validateで実際にAWSにリクエストを投げる前に、かなり細かいバリデーションができるようになった。

State管理の改善

本番運用を見据えたstate管理の改善も進めた。

• state lockの改善 — TTLを60分に延長し、lock renewalとconditional writeを追加（#857）
• アトミックなstate書き込み — ローカルバックエンドのstate書き込みをatomicに（#849）
• --lock=falseオプション — state lockのスキップ（#893）
• orphanedリソースの検出 — .crnファイルから消えたリソースの自動検出・削除（#853）
• state refreshコマンド — AWSの実際の状態とstateの同期（#395）
• エラーパスでのlock解放保証（#779）
• プロバイダースコープのstate identity — マルチプロバイダー構成でのstate破損防止（#854）

その他の新機能

• フォーマッター — list-of-mapsをblock構文に変換（#911）
• block構文 — List<Struct>属性に対するブロック構文のサポートと、codegenでの自動block_name生成（#381、#759）
• 前方参照 — 宣言順序に依存しないパーサー（#876）
• 循環依存検出 — リソース間の循環依存をエラーとして報告（#665）
• 型認識diff — differが型情報を持って意味的な比較を行うように（#613）
• ordered/unordered list — AWSCCスキーマのリストに順序付き/順序なしのセマンティクスを追加（#873）

リファクタリング

コードベースが大きくなってきたので、構造的な整理も進めた。main.rs（4000行）、awscc provider.rs（3500行）、differ.rs、diagnostics.rs、completion.rsなどの大きなファイルを分割し、carina-coreからvalidation、resolver、deps、config_loaderなどのモジュールを抽出した（#382〜#392、#673、#787）。

また、CLIやLSPのコードに"aws"や"awscc"といったプロバイダー名が直接書かれていたのを、ProviderFactoryトレイト経由で動的に解決するように変更した（#364、#367）。新しいプロバイダーを追加してもCLIやLSPのコードを変更する必要がなくなった。

そこで、Claude Codeに問題点をGitHubイシューとして登録させ、そのイシューをひとつずつ潰させる、というサイクルを回してみた。イシューの対応はすべて自分でPRをレビューしてからマージしていて、これは自分自身のコードや設計の理解を深める意味もある。10日間回した結果、90個のイシューが登録され、67個がクローズされた。

作業フロー

具体的な作業フローはこんな感じ。

1. /pick-issueスキルを呼ぶと、一番新しいオープンイシューをpickしてくる
2. Claude Codeがイシューを修正してPRを出す
3. /self-reviewスキルで5回セルフレビューさせる
4. セルフレビューの過程でPRに関連する問題が見つかればその場で修正、無関係な問題であれば新たにイシューを登録
5. 自分がPRをレビューしてマージ
6. 1に戻る

イシューの優先順位付けは特にやっていない。/pick-issueが一番新しいイシューを拾ってくるので、基本的にはFILO（後入れ先出し）で回している。気になるイシューがあれば/pick-issue 123のように番号指定することもあるが、大半はそのまま最新のものを拾わせている。修正の過程で見つかった新しいイシューが次にpickされやすいので、関連する問題が芋づる式に片付いていく、という副次的な効果もある。

イシューの登録元はセルフレビューだけではなく、コードベース全体のレビューや、acceptance testの実行結果から問題を拾ってイシューに登録させる、ということもやっている。

このフローだと、完全にボトルネックは人間によるレビュー。レビュー対象はPRのコードだけでなく、Claude Codeが立てたplanも含まれる。plan段階でプロジェクトの方針とまったく逆方向の提案をしてくることもあるので、方針がおかしければそこで差し戻す。

Day 1: 23個のイシュー

まずClaude Codeにコードベース全体のレビューとacceptance testの実行をさせたところ、1日で23個のイシューが登録された。バグ、設計上の問題、不足している機能など、色々なカテゴリのイシューが一気に出てきた。たとえば:

• Effect::Deleteにリソース識別子が含まれていない（#135）
• IGWのデタッチエラーが握りつぶされている（#136）
• create_plan()が削除すべきリソースを検出しない（#137）
• Structバリデーションがunknown fieldを無視している（#138）
• plan fileの保存とapplyが欲しい（#142）
• name属性をリソース識別子として使うのをやめるべき（#148）
• S3バケットの中身が空でないと削除できない（#160）

Day 2-3: 修正がさらなる問題を呼ぶ

初日のイシューを潰し始めると、修正の過程で新たな問題が次々と見つかった。

特に大きかったのが、--detailed-exitcode（#130）の実装と、acceptance testへのapply後plan verify追加（#129）。apply後にもう一度planを実行して差分がないことを確認する仕組みを入れたところ、べき等性の問題が大量に見つかった。

• enum値の大文字小文字が正規化されない（#174、#176）
• AWSから返ってきた値にスキーマにない余分なフィールドが含まれている（#172）
• List<Struct>の比較が順序依存で、false diffが出る（#171）

acceptance testを実際に10アカウント並列で回すと、テストランナー自体のバグも出てきた。ワーカーサブシェルがエラーで黙って停止する問題（#170）や、apply失敗時のリソースクリーンアップ（#180）など。こういった問題もすべてイシューとして登録させて、同じフローで潰していった。

Day 4-6: enumの大掃除

べき等性の問題を追いかけていくと、根本原因がenum処理の一貫性のなさに行き着いた。

enumの正規化・バリデーション・変換まわりはアドホックなコードが多く、normalize_instance_tenancy、normalize_regionのような個別のハードコードされた関数が各crateに散らばっていて、それぞれ微妙に違う挙動をしていた。

ここからenumの大掃除が始まった。

• 複数crateに散らばっていたnormalize_*関数をcarina-core::utilsに集約（#201、#204）
• get_enum_valid_values()をスキーマ定義から自動生成（#186）
• 大文字小文字を区別しないenum照合（#217）
• extract_enum_valueパターンの重複排除（#203、#209、#219）
• ハードコードされた特殊処理の削除（#199）

ひとつ直すと「この関数と同じパターンがあっちにもある」「この関数、もう使われてないのでは」と芋づる式にイシューが出てくる。Claude Codeに「さっき直した関数と同じパターンが他にもないか探して」と指示すると、重複を見つけてイシューを登録し、修正してくれる。

Day 7: APIの引き締め

enumの大掃除が一段落したところで、今度はAPIの公開範囲の見直しに入った。

• validate_iam_policy_documentをprivateに（#231）
• validate_namespaced_enumをpub(crate)に（#233）
• type factory関数をpub(crate)に（#236）
• validate_*関数のエラーメッセージ形式を統一（#228）

この日は13個のイシューが登録され、13個すべてクローズ。登録してすぐ直す、のリズムが回っていた。

同じ日に、コード生成まわりのバグもいくつか見つかった。VPC Endpoint IDの演算子優先順位問題（#244）は、初日に登録されていた#132の派生バグで、5日かけて全箇所を潰した形になる。

Day 8-9: CLIからプロバイダ固有ロジックを追い出す

初日のレビューで「carina-coreやCLIにプロバイダ固有のロジックが入り込んでいる」（#155）というイシューが登録されていた。ここに本格的に着手。

ProviderFactoryトレイトを導入して、設定バリデーション、リージョン抽出、プロバイダインスタンス化、スキーマ読み込みを抽象化した（#259）。CLI側にあった"aws"や"awscc"のmatchブロックがなくなり、新しいプロバイダを追加してもCLIのコードを変更する必要がなくなった。

enum処理のうちプロバイダ固有のものも、CLI側からProvider trait側に移動させた（#185、#190）。

全体を振り返って

10日間のサイクルで実装された主な機能・改善をまとめておく。

新機能:

• plan fileの保存とapply（carina plan --out=plan.json / carina apply plan.json）
• 孤児リソースの自動検出・削除
• --detailed-exitcodeフラグ
• lifecycle { force_delete }メタ引数
• <attr>_prefixサポート（ランダムサフィックス付きリソース名生成）
• unknown fieldのLevenshtein距離によるサジェスト
• enumエイリアス（IpProtocolのall → -1など）

リファクタリング:

• リソース識別子の再設計（name属性からの分離）
• enumシステムの全面書き直し（17 PR）
• 型の厳密化（String → 具体的なARN型、リソースID型、enum型など）
• ProviderFactory traitによるCLI/プロバイダの分離
• API公開範囲の引き締め

テスト:

• テスト数: 250 → 454
• apply後のplan verifyによるべき等性チェック
• テストランナーのシグナルハンドリング、事前認証、クリーンアップ改善