SSO configuration issue when using tfstate plugin

[takayamaki]

I have a problem with SSO configuration and tfstate plugin on ecspresso v2.6.5.

I guess that requires tfstate-lookup update to 1.8.0.

Error

$ AWS_PROFILE=service DEPLOY_TARGET_ENV=dev ecspresso status --config=.ecspresso/config.yml
2025-12-03T13:01:31.651+09:00 [INFO] ecspresso version: v2.6.5
2025-12-03T13:01:32.299+09:00 [ERROR] FAILED. failed to load config file .ecspresso/config.yml: failed to setup plugins: failed to read tfstate from s3://tfstates/dev.tfstate: failed to get bucket region: operation error S3: HeadBucket, failed to resolve service endpoint, endpoint rule error, A region must be set when sending requests to S3.

Config

~/.aws/config

It works fine when using profile service2.

[default]
[profile service]
sso_session = fusagiko-sso
sso_account_id = 123456789012
sso_role_name = sso_policy
[sso-session fusagiko-sso]
sso_start_url = https://d-1234567890.awsapps.com/start/#
sso_region = ap-northeast-1
sso_registration_scopes = sso:account:access

[profile service2]
sso_account_id = 123456789012
sso_role_name = sso_policy
sso_start_url = https://d-1234567890.awsapps.com/start/#
sso_region = ap-northeast-1
sso_registration_scopes = sso:account:access

[profile service3]
sso_session = fusagiko-sso
sso_account_id = 123456789012
sso_role_name = sso_policy
region = ap-northeast-1

.ecspresso/config.yml

region: ap-northeast-1
cluster: "hoge_dev"
service: fuga
service_definition: "service-definition.json"
task_definition: "dev/fuga-task-definition.json"
timeout: 10m0s
plugins:
  - name: tfstate
    config:
      url: "s3://tfstates/dev.tfstate"

[fujiwara]

@takayamaki Thank you!

I guess that requires tfstate-lookup update to 1.8.0.

Could you update to tfstate-lookup@v1.8.0 locally and test it?

[takayamaki]

@takayamaki Thank you!

I guess that requires tfstate-lookup update to 1.8.0.

Could you update to tfstate-lookup@v1.8.0 locally and test it?

Sorry, I only made a guess after comparing the go.mod files.

I have simler issue on Terraform v1.13.5, it was resolved in v1.14.0.
https://github.com/hashicorp/terraform/blob/v1.13.5/go.mod#L113
https://github.com/hashicorp/terraform/blob/v1.14.0/go.mod#L113

tfstate-lookup v1.7.0 uses the same version as Terraform v1.13.5.
https://github.com/fujiwara/tfstate-lookup/blob/v1.7.0/go.mod#L13

tfstate-lookup v1.8.0 uses a newer version than Terraform v1.14.0.
https://github.com/fujiwara/tfstate-lookup/blob/v1.8.0/go.mod#L13

v2.6.5 uses tfstate-lookup v1.7.0.
https://github.com/kayac/ecspresso/blob/v2.6.5/go.mod#L33

Finally, I suspect this is the cause.

[fujiwara]

@takayamaki Ok, I'm busy a little now. I'll try at next weekend.

I would be happy if you would fix and confirm (simply go get ... and make and run the binary).

[takayamaki]

I tried to update tfstate-lookup to v1.8.0, but this issue was not resolved.

すみません、試した内容を英語で正しくお伝えできる自信がなく、日本語でお許しください。

手元でgoの開発環境を入れてgo.modファイルのtfstate-lookupを1.8.0に書き換え、 go mod tidy && make clean && make でビルドしたバイナリを使っても解消しませんでした。
引き続き色々試した結果、v2.6.5のままでもAWS_REGION環境変数を明示的にセットすれば正常に動作しました。

issue本文のAWS_PROFILE=service2の書き方ではconfigのregionキーやAWS_REGION環境変数なしでも問題なく動作するため、
AWS_PROFILE=serviceの書き方、すなわちsso-sessionを使った書き方のときだけ、configのregionキーまたはAWS_REGION環境変数によってリージョンを外から明示的に指定しないとS3:HeadBucketに失敗する…ということのようです。

configにregionキーを追加すれば成功する、というのはissue本文に書き足したAWS_PROFILE=service3の書き方で成功したことで確認しました。

簡潔にまとめると下記のような挙動です

AWS_PROFILE=service AWS_REGION環境変数なし　→　×
AWS_PROFILE=service AWS_REGION環境変数あり　→　○
AWS_PROFILE=service2　→　○
AWS_PROFILE=service3　→　○

取り急ぎご報告です、引き続き根本原因の箇所を探してみますが、これ以上はちょっと手こずるかもしれません…

[fujiwara]

@takayamaki ありがとうございます！ profileにregionを定義する必要がある(しなくても AWS_REGION 環境変数があれば動作する)、ということですね。基本的には環境変数を設定して使うのが安全なのですが、心当たりがあるので週末調査してみます。

[fujiwara]

AWS_PROFILE=service AWS_REGION環境変数なし　→　×

この場合、profileにregion指定がなくAWS_REGIONも定義されていないのでそもそもregionを特定する方法がないのでは? ただしAWS_PROFILE=service2 (profileにregionなし、AWS_REGIONなし)の場合にregionが解決されている理由が不明ですね。

@takayamaki
いくつか確認したいのですが、

1. 「AWS_PROFILE=service AWS_REGION環境変数なし」この場合に、ecspresso / aws-cli それぞれでどのリージョンを使おうとしているのか。結果は両方で同じでしょうか?
2. tfstate pluginを使わない、もしくはtfstateをローカルファイルに置いて file:/// で指定した状態では想定したリージョン(1.のリージョン?)で動作しますか?

取り急ぎの回答としては、「profileもしくはAWS_REGION環境変数でregionを明示的に指定してください」となります。

[takayamaki]

まず1点報告に誤りがありました、申し訳ありません。

AWSのSSOは認証結果をキャッシュするらしく、service2のプロファイルにリージョン情報付きの認証結果がキャッシュされてしまっていたようで、明示的にaws sso logout→aws sso loginiしたところ下記が本当の挙動でした…

AWS_PROFILE=service AWS_REGION環境変数なし　→　×
AWS_PROFILE=service AWS_REGION環境変数あり　→　○
AWS_PROFILE=service2 AWS_REGION環境変数なし　→　×
AWS_PROFILE=service2 AWS_REGION環境変数あり　→　○
AWS_PROFILE=service3　→　○

1. AWS_PROFILE=service aws s3 ls s3://tfstates-bucket --debug を実行したところ、下記のような出力だったため、aws-cliは aws-global という値をとりあえず入れてListBucketなどを実行しているのではないか…と推測します。

2025-12-08 18:59:47,837 - MainThread - botocore.regions - DEBUG - Calling endpoint provider with parameters: {'Bucket': 'tfstates-bucket', 'Region': 'aws-global', 'UseFIPS': False, 'UseDualStack': False, 'ForcePathStyle': False, 'Accelerate': False, 'UseGlobalEndpoint': False, 'Prefix': '', 'DisableMultiRegionAccessPoints': False, 'UseArnRegion': True}
2025-12-08 18:59:47,837 - MainThread - botocore.regions - DEBUG - Endpoint provider result: https://s3.amazonaws.com/tfstates-bucket
2025-12-08 18:59:47,837 - MainThread - botocore.regions - DEBUG - Selecting from endpoint provider's list of auth schemes: "sigv4". User selected auth scheme is: "None"
2025-12-08 18:59:47,837 - MainThread - botocore.regions - DEBUG - Selected auth type "v4" as "v4" with signing context params: {'region': 'us-east-1', 'signing_name': 's3', 'disableDoubleEncoding': True}
2025-12-08 18:59:47,838 - MainThread - botocore.hooks - DEBUG - Event before-call.s3.ListObjectsV2: calling handler <function add_expect_header at 0x7579a7c3bce0>
2025-12-08 18:59:47,838 - MainThread - botocore.hooks - DEBUG - Event before-call.s3.ListObjectsV2: calling handler <bound method S3ExpressIdentityResolver.apply_signing_cache_key of <botocore.utils.S3ExpressIdentityResolver object at 0x7579a4bc8590>>
2025-12-08 18:59:47,838 - MainThread - botocore.hooks - DEBUG - Event before-call.s3.ListObjectsV2: calling handler <function inject_api_version_header_if_needed at 0x7579a7c51260>
2025-12-08 18:59:47,838 - MainThread - botocore.endpoint - DEBUG - Making request for OperationModel(name=ListObjectsV2) with params: {'url_path': '?list-type=2', 'query_string': {'prefix': '', 'delimiter': '/', 'encoding-type': 'url'}, 'method': 'GET', 'headers': {'User-Agent': 'aws-cli/2.32.11 md/awscrt#0.29.1 ua/2.1 os/linux#6.6.87.2-microsoft-standard-WSL2 md/arch#x86_64 lang/python#3.13.9 md/pyimpl#CPython m/E,Z,r,C,b,s cfg/retry-mode#standard md/installer#exe md/distrib#ubuntu.24 sid/24e7a8604bd2 md/prompt#off md/command#s3.ls'}, 'body': b'', 'auth_path': '/tfstates-bucket?list-type=2', 'url': 'https://s3.amazonaws.com/tfstates-bucket?list-type=2&prefix=&delimiter=%2F&encoding-type=url', 'context': {'client_region': 'aws-global', 'client_config': <botocore.config.Config object at 0x7579a5753d90>, 'has_streaming_input': False, 'auth_type': 'v4', 'unsigned_payload': None, 'auth_options': ['aws.auth#sigv4'], 'encoding_type_auto_set': True, 's3_redirect': {'redirected': False, 'bucket': 'tfstates-bucket', 'params': {'Bucket': 'tfstates-bucket', 'Prefix': '', 'Delimiter': '/', 'EncodingType': 'url'}}, 'S3Express': {'bucket_name': 'tfstates-bucket'}, 'signing': {'region': 'us-east-1', 'signing_name': 's3', 'disableDoubleEncoding': True}, 'endpoint_properties': {'authSchemes': [{'disableDoubleEncoding': True, 'name': 'sigv4', 'signingName': 's3', 'signingRegion': 'us-east-1'}]}}}

ecspressoについてはAWSエンドポイント呼び出しのレベルまでデバッグ出力をする方法がわかりませんでした、申し訳ありません。
--debug オプションを付けたときのエラー出力は次の通りです。

$ AWS_PROFILE=service DEPLOY_TARGET_ENV=dev ecspresso status --config=.ecspresso/workshop-config.yml --debug
2025-12-08T18:49:54.789+09:00 [INFO] ecspresso version: v2.6.5
2025-12-08T18:49:55.409+09:00 [ERROR] FAILED. failed to load config file .ecspresso/workshop-config.yml: failed to setup plugins: failed to read tfstate from s3://tfstates-bucket/dev/infrastructure.tfstate: failed to get bucket region: operation error S3: HeadBucket, failed to resolve service endpoint, endpoint rule error, A region must be set when sending requests to S3.
$ AWS_REGION=ap-northeast-1 AWS_PROFILE=service DEPLOY_TARGET_ENV=dev ecspresso status --config=.ecspresso/workshop-config.yml --debug
【成功のため略】
$ AWS_PROFILE=service2 DEPLOY_TARGET_ENV=dev ecspresso status --config=.ecspresso/workshop-config.yml --debug
2025-12-08T18:49:50.390+09:00 [INFO] ecspresso version: v2.6.5
2025-12-08T18:49:50.928+09:00 [ERROR] FAILED. failed to load config file .ecspresso/workshop-config.yml: failed to setup plugins: failed to read tfstate from s3://tfstates-bucket/dev/infrastructure.tfstate: failed to get bucket region: operation error S3: HeadBucket, failed to resolve service endpoint, endpoint rule error, A region must be set when sending requests to S3.
$ AWS_REGION=aws-global AWS_PROFILE=service2 DEPLOY_TARGET_ENV=dev ecspresso status --config=.ecspresso/workshop-config.yml --debug
【成功のため略】
$ AWS_PROFILE=service3 DEPLOY_TARGET_ENV=dev ecspresso status --config=.ecspresso/workshop-config.yml --debug
【成功のため略】
$

上記ログのservice2のほうで試していますが、 AWS_REGION=aws-global でも成功しているので、tfstate-lookupのほうでHeadBucketの際にとりあえず aws-global を入れておけば、動作するのではないかと思います。

2. 項目1に書いた通りecspressoのAPI呼び出しのログを見る方法がわかりませんでしたので一致しているかどうかは不明ですが、 terraform state pull > ~//path/to/tfstate でtfstateをローカルに保存し、ecspressoのconfigを下記のようにpath、またはfileスキーマのurlに書き換えたところAWS_REGION環境変数の有無に関わらずecspresso statusの実行には成功しました。
   そのためやはりtfstate-lookupがs3からtfstateをダウンロードする際のバケットが存在するリージョンを取得する部分で失敗していそう、という推測はできます。

  - name: tfstate
    config:
      url: file:///home/fusagiko/path/to/tfstate

OR

  - name: tfstate
    config:
      path: /home/fusagiko/path/to/tfstate

ご回答いただいた通り、作成中の手順書には aws sso configure の際にregionを入力すること、と記載したので直近で完全に利用不可、というわけではなくなりました。

[fujiwara]

@takayamaki
configにregionなし、AWS_REGIONもなしの状態でbucket regionが取得できるようにした tfstate-lookup v1.8.1 をリリースし、それを含んだ形で ecspresso v2.7.0 をリリースしています。
こちらで確認お願いします！
https://github.com/kayac/ecspresso/releases/tag/v2.7.0