Estado remoto de Terraform en Azure

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Infraestructura como Código

Fundamentos de Terraform

Variables y Estado

Bloques y Comandos Útiles

Creación y Gestión de Recursos

Módulos en Terraform

Integración y Despliegue Continuo

Documentación y Recursos

37
Navegación Eficiente en la Documentación de Terraform
08:35 min

Tomar examen

Estado remoto de Terraform en Azure

Resumen

Trabajar con Terraform en equipo exige un estado compartido y seguro. Configurar un backend remoto en Terraform con Azure te permite centralizar el archivo tfstate, bloquearlo durante ejecuciones y mantener consistencia sin importar cuántos especialistas toquen la infraestructura. Esta guía es para quienes ya manejan Terraform local y quieren dar el salto a entornos colaborativos.

Cómo se inicializa Terraform con un backend remoto

Una vez que tienes la cuenta de almacenamiento en Azure y el archivo backend.tf dentro de tu proyecto, el flujo cambia ligeramente respecto al terraform init tradicional.

Desde la terminal, te ubicas en la carpeta del proyecto (en este caso estado-remoto) y ejecutas el comando con un parámetro especial:

bash terraform init -backend-config="SAS_TOKEN=tu_token_aqui"

Ese SAS_TOKEN es la clave que le da permisos a Terraform para acceder a tu cuenta de almacenamiento. Sin él, no hay conexión posible con el backend.

¿Qué es un SAS token en Azure? Es una Shared Access Signature, una firma temporal que otorga permisos específicos sobre recursos de Azure Storage. Defines servicios, tipos de recursos, permisos y fecha de expiración.

Dónde generar el SAS token y qué permisos asignar

El SAS token se crea desde el portal de Azure, en la sección Shared Access Signature de tu cuenta de almacenamiento. La configuración depende de tu caso, pero para este flujo basta con lo siguiente.

Servicios: solo Blob, ya que el tfstate vive ahí.
Tipos de recursos: contenedores y objetos.
Permisos: todos, si estás en práctica.
Expiración: una semana es razonable para pruebas; en producción, ajusta a tu política de seguridad.

Presionas Generate SAS, copias el token y lo pegas dentro de las comillas del comando. Cierra bien las comillas para que el parámetro no falle.

Qué cambia al ejecutar terraform plan y apply con backend remoto

Cuando corres terraform plan -out plan.out, la primera línea ya no es la de refrescar estado. Ahora aparece un mensaje de state lock, es decir, el aseguramiento del estado.

Esto significa que mientras tú ejecutas cambios, nadie más del equipo puede modificar ese estado. Es una protección automática contra ejecuciones simultáneas que podrían corromper la infraestructura.

Al terminar el plan, el seguro se libera. Cuando ejecutas terraform apply, vuelve a bloquearse y, al finalizar con un apply complete, se libera otra vez. Todo el ciclo se respeta tal como lo harías en local, pero con la garantía de exclusividad temporal.

¿Qué es el state locking en Terraform? Es un mecanismo que impide que dos personas modifiquen el estado al mismo tiempo. Se activa durante plan y apply, y se libera al terminar la operación.

Por qué desaparece el archivo tfstate local

Si vuelves a Visual Studio Code después del apply, notarás que ya no existe un archivo tfstate en tu carpeta. Y esto es lo interesante: el estado ahora vive en Azure.

Entrando al portal, dentro del contenedor de tu cuenta de almacenamiento, encontrarás un archivo llamado estados.tfstate. Es exactamente el mismo archivo que antes tenías local, pero ahora alojado de forma remota y accesible para todo el equipo.

Cómo funciona el estado compartido entre equipos distribuidos

Con esta configuración, una persona en la oficina de al lado o en otro país puede usar el mismo estado. Cada cambio queda reflejado para todos los que trabajan sobre ese tfstate.

Consistencia: todos despliegan la misma infraestructura sin desincronizaciones.
Trazabilidad: los cambios quedan reportados al equipo que comparte el archivo.
Bloqueo automático: nadie pisa el trabajo de otra persona durante ejecuciones.

¿Para qué sirve un backend remoto en Terraform? Sirve para almacenar el estado fuera de tu máquina local, permitir colaboración en equipo y aplicar bloqueos que evitan modificaciones simultáneas sobre la misma infraestructura.

Mantener un estado uniforme deja de depender del tamaño del equipo. Ya seas tú solo o veinte especialistas, el flujo se sostiene. Cuéntame en los comentarios cómo estás manejando el estado en tus proyectos actuales.

Comentarios

Julio Sarango

Estudiante

Para AWS debes seguir los siguientes pasos:

Crear un bucket de S3. Habilitar versionamiento. Nombre: terraform-status-js
Crear una tabla en DynamoDB con nombre terraform-status y crear una columna (clave de partición) con el nombre LockID de tipo string
Generar las creenciales de tu usuario. Si estás en este video ya debes tener configurado dentro de ~/.aws/credentials
Ejecutar nuevamente terraform init
Ejecutar terraform plan. Con esto ya debe de funcionar.

Te dejo como quedó el archivo providesr.tf

terraform {
  required_providers {
    aws = {
      source = "hashicorp/aws"
      version = "5.88.0"
    }
  }
  backend "s3" {
    bucket = "terraform-status-js"
    key    = "terraform.tfstate"
    region = "us-east-1"
    encrypt = true
    dynamodb_table = "terraform-status"
  }
}

provider "aws" {
  # Configuration options
  region = "us-east-1"
}

Libardo Arturo Arroyave Bustos

Estudiante

🚀 Terraform con Backend Remoto en Azure: Seguridad y Colaboración en el Estado

El uso de un backend remoto en Terraform dentro de Azure permite asegurar, compartir y mantener la consistencia del archivo de estado en proyectos individuales o de equipo. La lección explica paso a paso cómo configurar y trabajar con este mecanismo crítico para la gestión de infraestructura como código (IaC).

A continuación, un desglose claro y práctico de los puntos clave.

📂 Configuración inicial del Backend Remoto

Para comenzar, es necesario tener configurada la cuenta de almacenamiento en Azure y un archivo backend.tf en el proyecto de Terraform.

El comando para inicializar el backend remoto no es simplemente terraform init, sino que debe incluir parámetros adicionales:

Se utiliza el flag -backend-config para pasar el SAS Token.
El SAS Token (Shared Access Signature) actúa como la clave de acceso que permite a Terraform conectarse de manera segura al Storage Account.

🔑 Ejemplo hipotético del comando:

terraform init -backend-config="sas_token=<TU_SAS_TOKEN>"

🔑 Creación y uso del SAS Token en Azure

El SAS Token se obtiene desde el portal de Azure, en la sección de Shared Access Signature.

Aspectos destacados al configurarlo:

Solo se requiere acceso a Blob y Contenedores, no a tablas ni colas.
Se pueden otorgar todos los permisos durante pruebas y laboratorios, aunque en entornos productivos se recomienda un principio de privilegio mínimo.
La fecha de expiración puede ajustarse según necesidad (en el ejemplo, se configuró por una semana).

El token generado se copia y se pasa al comando terraform init. No olvidar cerrar las comillas al especificar el parámetro.

⚙️ Inicialización del Backend y Seguridad del Estado

Al ejecutar el comando, Terraform confirma que el backend remoto se configuró correctamente en AzureRM.

A partir de aquí, los comandos funcionan con un comportamiento adicional:

terraform plan ya no solo refresca el estado, sino que asegura el estado mediante un lock (bloqueo de acceso).
El lock de estado evita que múltiples usuarios realicen cambios en paralelo, protegiendo la consistencia.

🔒 Funcionamiento del lock en la práctica:

Cuando un usuario ejecuta un plan o apply, el estado queda bloqueado.
Nadie más puede ejecutar operaciones que modifiquen el estado hasta que se libere.
Al terminar la operación, el lock se libera automáticamente y otros usuarios pueden interactuar con el estado.

▶️ Ejecución de Terraform Apply

Una vez revisado el plan, se procede con terraform apply.

Durante la ejecución, el estado vuelve a quedar asegurado exclusivamente para quien ejecuta.
Al finalizar, se libera el estado y queda disponible para otros miembros del equipo.
El resultado incluye el esperado Apply complete, confirmando que la infraestructura fue desplegada sin problemas.

🗂️ Ubicación del archivo de estado

Una diferencia clave frente a trabajar con estado local:

Ya no aparece el archivo terraform.tfstate en el directorio del proyecto.
El archivo ahora vive en el Storage Account de Azure, dentro del contenedor configurado (por ejemplo, states/estados.tfstate).

Esto garantiza que todos los miembros del equipo utilicen el mismo archivo de estado compartido y actualizado, manteniendo consistencia y evitando conflictos.

✅ Conclusiones y Recomendaciones

El backend remoto en Azure para Terraform aporta:

Seguridad mediante el uso de tokens SAS y locks de estado.
Colaboración al centralizar el archivo de estado en un Storage Account accesible por todo el equipo.
Escalabilidad al permitir que proyectos grandes con múltiples colaboradores mantengan un estado único y confiable.

🔧 Buenas prácticas recomendadas:

Usar Azure Key Vault para almacenar y gestionar de manera segura el SAS Token.
Definir permisos mínimos en el SAS Token en entornos productivos.
Automatizar el flujo con CI/CD (GitHub Actions) para evitar ejecuciones manuales que puedan introducir errores.

Este mecanismo transforma la manera en que los equipos gestionan infraestructura como código en Azure, asegurando que tanto un desarrollador en solitario como un equipo distribuido de 20 ingenieros trabajen siempre sobre una fuente única de verdad para su infraestructura.

Johan Moises Ariza Mahecha

Estudiante

Hola a todos. Si les genera un error como el siguiente:

Error: A resource with the ID "/subscriptions/id-prueba/resourceGroups/dev-rg-moises-yod-y-z" already exists - to be managed via Terraform this resource needs to be imported into the State. Please see the resource documentation for "azurerm_resource_group" for more information.
│ 
│   with azurerm_resource_group.rg,
│   on main.tf line 16, in resource "azurerm_resource_group" "rg":
│   16: resource "azurerm_resource_group" "rg" {
│

Esto nos quiere decir que no se puede ejecutar el plan debido a que el grupo de recursos ya existía en Azure, pero terraform no lo estaba gestionando, por lo cual tenía que importar el estado actual.

Para hacerlo toca usar el siguiente comando:

terraform import azurerm_resource_group.rg /subscriptions/<ID>/resourceGroups/dev-rg-moises-yod-y-z
```Donde \<ID> lo reemplazo por el id que tenía en el archivo .tfvars (que es donde esta el ID de mi subscripcion).

Ya despues de eso volvemos a ejecutar el plan y el apply.

```txt
terraform plan -out plan.out

terraform apply "plan.out”

Eduardo Domínguez Navarrete

Estudiante

•

Les comparto la documentación donde se explica más adetalle el cómo manejar el backend del state de cada proveedor:

Azure
GCP
AWS

Eduardo Domínguez Navarrete

Estudiante

•

Una forma también de consultar el state, dado que ya no estaría en local es:

terraform show

Andrés Felipe Perdomo Alvarado

Estudiante

•

Ejercicio con AWS:

terraform {
  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = "6.41.0"
    }
  }
  backend "s3" {
    key          = "terraform.tfstate"
    region       = "us-east-1"         # Región del bucket
    bucket       = "tu-bucket-s3"      # Bucket de S3 donde se almacena
    use_lockfile = true                # Esto reemplaza a dynamodb_table
    encrypt      = true                # Cifrado del estado en S3
  }
}

provider "aws" {
  region = "us-east-1"
}

Comandos:

terraform init
terraform plan -out plan.out
terraform apply "plan.out"

Jorge Alexander Alza Ramírez

Estudiante

En qué contextos yo uso ese sas_token de esa manera, puesto que, asumo que el equipo de desarrollo que trabaja en terraform deberian trabajar con una misma cuenta de Azure, o esto se puede hacer para diferentes cuentas, incluso en otro proveedor de nube? Entonces al trabajar en una misma cuenta podrian dejar expuesto el sas token, a no ser que el repositorio sea público

Libardo Arturo Arroyave Bustos

Estudiante

Laboratorios o entornos de prueba: cuando quieres probar rápidamente el backend remoto sin configurar credenciales complejas.
Usuarios sin rol directo en Azure: si un colaborador externo necesita acceso puntual al estado, se le puede generar un SAS con permisos y expiración limitados.
Escenarios de "bootstrap": al iniciar un proyecto donde aún no has montado Key Vault, Service Principals o Managed Identities.

En estos casos, el SAS Token es como una llave temporal de emergencia.

Kewin Daniel Guzman Diaz

Estudiante

Tengo una duda, en el proyecto que llevo realizado, lo hice sin el sas y funciono, debería funcionar?

Diego Alejandro Lesmes

Estudiante

es decir solo corriste terrafom init -backend ?? 🤔

Kewin Daniel Guzman Diaz

Estudiante

terraform {
  backend "azurerm" {
    resource_group_name  = "name-rg"
    storage_account_name = "name-stacc"
    container_name       = "name-container"
    key                  = "name-key.tfstate"
    subscription_id      = "subscription-id" # Develop
    tenant_id            = "tenant-id" # Good practice: tenant to identify Develop subscription
  }
}
```Si yo tengo la conf asi, hice el init, plan y se creo en el storage

Luis Rivero

Estudiante

Si ya empecé a utilizar el estado local y luego quiero migrar a un estado remoto ¿Qué debo hacer? ¿Qué pasos debo seguir?

Amin Espinoza

Profesor

Solo actualiza al estado remoto y vuelve a desplegar toda tu infra para que quedes con todos estos registros guardados en el estado. Es una operación aburrida pero necesaria.

Fabian Guerrero

Estudiante

me sale este campo a rellenar pero no se con que rellenarlo, como puedo hacer para solucionar?

Fabian Guerrero

Estudiante

asi resolvi

Infraestructura como Código

Despliegue de Infraestructura en la Nube con Terraform

Qué es infraestructura como código con Terraform

Por qué Terraform domina la infraestructura como código

Instalación de Terraform en Ubuntu usando WSL en Windows

Cómo crear tu cuenta gratuita en Azure

Instalar y configurar Azure CLI con Terraform

Prueba Inicial de Terraform con Docker y Visual Studio Code

Fundamentos de Terraform

Proveedores de Terraform para multi-cloud

Cómo crear tu primer resource group con Terraform

Uso del comando Terraform Plan para validar configuraciones

terraform apply para crear recursos en Azure

Terraform Destroy para limpiar tu nube

Terraform Init, Plan y Apply en Azure

Variables y Estado

Variables en Terraform con archivos tfvars

Gestión de Outputs en Terraform para Recursos Desplegados

Creación de Cuentas de Almacenamiento en Azure con Terraform

Nombres únicos en Azure con CAF provider

El archivo tfstate que Terraform no cifra