Azure Verified Modules (AVM) 认证要求详解：Terraform 模块开发规范与最佳实践

azure-verified-modules by hashicorp/agent-skills

528 周安装量

492 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/hashicorp/agent-skills --skill azure-verified-modules

云服务代码规范开发运维

🇨🇳中文介绍

Azure Verified Modules (AVM) 要求

本指南涵盖了 Azure Verified Modules 认证的强制性要求。这些要求确保 Azure Terraform 模块的一致性、质量和可维护性。

参考资料：

模块交叉引用

严重性： 必须 | 要求： TFFR1

在构建资源或模式模块时，模块所有者可以交叉引用其他模块。但是：

模块必须使用 HashiCorp Terraform 注册表引用并指定固定版本
- 例如：source = "Azure/xxx/azurerm" 并指定 version = "1.2.3"

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

Azure Provider 要求

严重性： 必须 | 要求： TFFR3

作者必须仅使用以下 Azure providers：

Provider	最低版本	最高版本
azapi	>= 2.0	< 3.0
azurerm	>= 4.0	< 5.0

作者可以选择 Azurerm、Azapi 或两者
必须使用 required_providers 块来强制执行 provider 版本
应该使用悲观版本约束操作符 (~>)

terraform {
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~> 4.0"
    }
    azapi = {
      source  = "Azure/azapi"
      version = "~> 2.0"
    }
  }
}

下划线蛇形命名法

严重性： 必须 | 要求： TFNFR4

必须对以下内容使用下划线蛇形命名法：

局部值
变量
输出
资源（符号名称）
模块（符号名称）

示例：snake_casing_example

资源与数据源排序

严重性： 应该 | 要求： TFNFR6

被依赖的资源应该放在前面
有依赖关系的资源应该定义在彼此靠近的位置

Count 与 for_each 的使用

严重性： 必须 | 要求： TFNFR7

使用 count 进行条件性资源创建
必须使用 map(xxx) 或 set(xxx) 作为资源的 for_each 集合
映射的键或集合的元素必须是静态字面量

resource "azurerm_subnet" "pair" {
  for_each             = var.subnet_map  # map(string)
  name                 = "${each.value}-pair"
  resource_group_name  = azurerm_resource_group.example.name
  virtual_network_name = azurerm_virtual_network.example.name
  address_prefixes     = ["10.0.1.0/24"]
}

资源与数据块内部排序

严重性： 应该 | 要求： TFNFR8

资源/数据块内部顺序：

元参数（顶部） :
- provider
- count
- for_each
参数/块（中部，按字母顺序） :
- 必需参数
- 可选参数
- 必需嵌套块
- 可选嵌套块
元参数（底部） :
- depends_on
- lifecycle（子顺序：create_before_destroy、ignore_changes、prevent_destroy）

各部分之间用空行分隔。

严重性： 应该 | 要求： TFNFR9

模块块内部顺序：

顶部元参数 :
- source
- version
- count
- for_each
参数（按字母顺序） :
- 必需参数
- 可选参数
底部元参数 :
- depends_on
- providers

Lifecycle ignore_changes 语法

严重性： 必须 | 要求： TFNFR10

ignore_changes 属性不得用双引号括起来。

lifecycle {
  ignore_changes = [tags]
}

lifecycle {
  ignore_changes = ["tags"]
}

条件性创建的空值比较

严重性： 应该 | 要求： TFNFR11

对于需要条件性创建资源的参数，使用 object 类型包装，以避免计划阶段出现“应用后才知道”的问题。

variable "security_group" {
  type = object({
    id = string
  })
  default = null
}

可选嵌套对象的动态块

严重性： 必须 | 要求： TFNFR12

条件性嵌套块必须使用以下模式：

dynamic "identity" {
  for_each = <condition> ? [<some_item>] : []

  content {
    # block content
  }
}

使用 coalesce/try 的默认值

严重性： 应该 | 要求： TFNFR13

coalesce(var.new_network_security_group_name, "${var.subnet_name}-nsg")

var.new_network_security_group_name == null ? "${var.subnet_name}-nsg" : var.new_network_security_group_name

模块中的 Provider 声明

严重性： 必须 | 要求： TFNFR27

模块中不得声明 provider（configuration_aliases 除外）
模块中的 provider 块必须仅使用 alias
Provider 配置应该由模块用户传入

严重性： 必须 | 要求： TFNFR14

模块所有者不得添加如 enabled 或 module_depends_on 之类的变量来控制整个模块的运行。用于特定资源的布尔功能开关是可接受的。

严重性： 应该 | 要求： TFNFR15

变量应该遵循以下顺序：

所有必填字段（按字母顺序）
所有可选字段（按字母顺序）

严重性： 应该 | 要求： TFNFR16

遵循 HashiCorp 的命名规则
功能开关应该使用肯定语句：xxx_enabled 而不是 xxx_disabled

严重性： 应该 | 要求： TFNFR17

description应该精确描述参数的目的和预期的数据类型
目标受众是模块用户，而非开发者
对于 object 类型，使用 HEREDOC 格式

严重性： 必须 | 要求： TFNFR18

每个变量必须定义 type
type应该尽可能精确
any可以仅在理由充分时使用
对于真/假值，使用 bool 而不是 string/number
使用具体的 object 而不是 map(any)

严重性： 应该 | 要求： TFNFR19

如果变量的类型是 object 且包含敏感字段，则整个变量应该设为 sensitive = true，或者将敏感字段提取到单独的变量中。

集合类型的非空默认值

严重性： 应该 | 要求： TFNFR20

对于在循环中使用的集合值（集合、映射、列表），可空性应该设为 false。对于标量值，空值可能具有语义含义。

默认不鼓励可空性

严重性： 必须 | 要求： TFNFR21

必须避免使用 nullable = true，除非对空值有特定的语义需求。

避免 sensitive = false

严重性： 必须 | 要求： TFNFR22

必须避免使用 sensitive = false（这是默认值）。

敏感默认值条件

严重性： 必须 | 要求： TFNFR23

敏感输入（例如默认密码）不得设置默认值。

处理已弃用的变量

严重性： 必须 | 要求： TFNFR24

将已弃用的变量移至 deprecated_variables.tf
在描述开头用 DEPRECATED 标注
声明替换变量的名称
在主版本发布时清理

额外的 Terraform 输出

严重性： 应该 | 要求： TFFR2

作者不应该输出整个资源对象，因为这些可能包含敏感数据，并且模式可能随 API 或 provider 版本而改变。

将资源的计算属性作为离散的输出（防腐层模式）
不应该输出已经是输入的值（name 除外）
对敏感属性使用 sensitive = true
对于使用 for_each 部署的资源，以映射结构输出计算属性

# 单个资源的计算属性
output "foo" {
  description = "MyResource foo attribute"
  value       = azurerm_resource_myresource.foo
}

# for_each 资源
output "childresource_foos" {
  description = "MyResource children's foo attributes"
  value = {
    for key, value in azurerm_resource_mychildresource : key => value.foo
  }
}

# 敏感输出
output "bar" {
  description = "MyResource bar attribute"
  value       = azurerm_resource_myresource.bar
  sensitive   = true
}

严重性： 必须 | 要求： TFNFR29

包含机密数据的输出必须声明为 sensitive = true。

处理已弃用的输出

严重性： 必须 | 要求： TFNFR30

将已弃用的输出移至 deprecated_outputs.tf
在 outputs.tf 中定义新的输出
在主版本发布时清理

严重性： 可以 | 要求： TFNFR31

locals.tf应该仅包含 locals 块
可以在高级场景中将 locals 块声明在资源旁边

局部值按字母顺序排列

严重性： 必须 | 要求： TFNFR32

locals 块中的表达式必须按字母顺序排列。

精确的局部值类型

严重性： 应该 | 要求： TFNFR33

使用精确的类型（例如，年龄用 number，而不是 string）。

Terraform 配置要求

Terraform 版本要求

严重性： 必须 | 要求： TFNFR25

terraform.tf 要求：

必须只包含一个 terraform 块
第一行必须定义 required_version
必须包含最低版本约束
必须包含最高主版本约束
应该使用 ~> #.# 或 >= #.#.#, < #.#.# 格式

terraform {
  required_version = "~> 1.6"
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~> 4.0"
    }
  }
}

required_providers 中的 Providers

严重性： 必须 | 要求： TFNFR26

terraform 块必须包含 required_providers 块
每个 provider必须指定 source 和 version
Providers应该按字母顺序排序
仅包含直接需要的 providers
source必须是 namespace/name 格式
version必须包含最低和最高主版本约束
应该使用 ~> #.# 或 >= #.#.#, < #.#.# 格式

严重性： 必须 | 要求： TFNFR5

AVM 所需的测试工具：

Terraform (terraform validate/fmt/test)
terrafmt
Checkov
tflint（带 azurerm 规则集）
Go（用于自定义测试，可选）

测试 Provider 配置

严重性： 应该 | 要求： TFNFR36

为了进行稳健的测试，在测试 provider 配置中，prevent_deletion_if_contains_resources应该显式设置为 false。

严重性： 必须 | 要求： TFNFR2

文档必须通过 Terraform Docs 自动生成
模块根目录必须存在 .terraform-docs.yml 文件

破坏性变更与功能管理

严重性： 必须 | 要求： TFNFR34

在次要/补丁版本中添加的新资源必须有一个开关变量，以默认不创建：

variable "create_route_table" {
  type     = bool
  default  = false
  nullable = false
}

resource "azurerm_route_table" "this" {
  count = var.create_route_table ? 1 : 0
  # ...
}

审查潜在的破坏性变更

严重性： 必须 | 要求： TFNFR35

需要谨慎处理的破坏性变更：

添加没有条件性创建的新资源
添加具有非默认值的参数
添加没有 dynamic 的嵌套块
重命名资源而没有使用 moved 块
将 count 改为 for_each 或反之

变量/输出块：

删除/重命名变量
更改变量 type
更改变量 default 值
将 nullable 改为 false
将 sensitive 从 false 改为 true
添加没有 default 的变量
删除输出
更改输出 value
更改输出 sensitive 值

GitHub 仓库分支保护

严重性： 必须 | 要求： TFNFR3

模块所有者必须在默认分支（通常是 main）上设置分支保护策略：

合并前需要拉取请求
需要批准最近一次可审查的推送
推送新提交时，撤销过时的 PR 批准
要求线性历史
防止强制推送
不允许删除
需要 CODEOWNERS 审查
不允许绕过设置
对管理员强制执行

合规性检查清单

开发或审查 Azure Verified Modules 时使用此检查清单：

模块交叉引用使用注册表源并指定固定版本
Azure providers (azurerm/azapi) 版本符合 AVM 要求
模块根目录存在 .terraform-docs.yml 文件
存在 CODEOWNERS 文件

所有名称使用下划线蛇形命名法
资源按依赖关系排序，被依赖的在前
for_each 使用 map() 或 set() 并具有静态键
资源/数据/模块块遵循正确的内部排序
ignore_changes 不加引号
条件性嵌套对象使用动态块
默认值使用 coalesce() 或 try()

没有 enabled 或 module_depends_on 变量
变量顺序：必填（按字母顺序），然后可选（按字母顺序）
所有变量都有精确的类型（避免 any）
所有变量都有描述
集合类型有 nullable = false
没有 sensitive = false 声明
敏感输入没有默认值
已弃用的变量已移至 deprecated_variables.tf

输出使用防腐层模式（离散属性）
敏感输出标记为 sensitive = true
已弃用的输出已移至 deprecated_outputs.tf

terraform.tf 具有版本约束（~> 格式）
存在 required_providers 块并包含所有 providers
模块中没有 provider 声明（别名除外）
局部值按字母顺序排列

已配置所需的测试工具
新资源具有功能开关
已审查并记录破坏性变更

功能要求： 3
非功能要求： 34
总要求数： 37

必须： 21 项要求
应该： 14 项要求
可以： 2 项要求

基于：Azure Verified Modules - Terraform 要求

🇺🇸English

Azure Verified Modules (AVM) Requirements

This guide covers the mandatory requirements for Azure Verified Modules certification. These requirements ensure consistency, quality, and maintainability across Azure Terraform modules.

References:

Module Cross-Referencing
Azure Provider Requirements
Code Style Standards
Variable Requirements
Output Requirements
Local Values Standards
Terraform Configuration Requirements
Testing Requirements
Documentation Requirements
Breaking Changes & Feature Management
Contribution Standards
Compliance Checklist

Module Cross-Referencing

Severity: MUST | Requirement: TFFR1

When building Resource or Pattern modules, module owners MAY cross-reference other modules. However:

Modules MUST be referenced using HashiCorp Terraform registry reference to a pinned version
- Example: source = "Azure/xxx/azurerm" with version = "1.2.3"
Modules MUST NOT use git references (e.g., git::https://xxx.yyy/xxx.git or github.com/xxx/yyy)
Modules MUST NOT contain references to non-AVM modules

Azure Provider Requirements

Severity: MUST | Requirement: TFFR3

Authors MUST only use the following Azure providers:

Provider	Min Version	Max Version
azapi	>= 2.0	< 3.0
azurerm	>= 4.0	< 5.0

Requirements:

Authors MAY select either Azurerm, Azapi, or both providers
MUST use required_providers block to enforce provider versions
SHOULD use pessimistic version constraint operator (~>)

Example:

terraform {
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~> 4.0"
    }
    azapi = {
      source  = "Azure/azapi"
      version = "~> 2.0"
    }
  }
}

Code Style Standards

Lower snake_casing

Severity: MUST | Requirement: TFNFR4

MUST use lower snake_casing for:

Locals
Variables
Outputs
Resources (symbolic names)
Modules (symbolic names)

Example: snake_casing_example

Resource & Data Source Ordering

Severity: SHOULD | Requirement: TFNFR6

Resources that are depended on SHOULD come first
Resources with dependencies SHOULD be defined close to each other

Count & for_each Usage

Severity: MUST | Requirement: TFNFR7

Use count for conditional resource creation
MUST use map(xxx) or set(xxx) as resource's for_each collection
The map's key or set's element MUST be static literals

Example:

resource "azurerm_subnet" "pair" {
  for_each             = var.subnet_map  # map(string)
  name                 = "${each.value}-pair"
  resource_group_name  = azurerm_resource_group.example.name
  virtual_network_name = azurerm_virtual_network.example.name
  address_prefixes     = ["10.0.1.0/24"]
}

Resource & Data Block Internal Ordering

Severity: SHOULD | Requirement: TFNFR8

Order within resource/data blocks:

Meta-arguments (top) :
- provider
- count
- for_each
Arguments/blocks (middle, alphabetical) :
- Required arguments
- Optional arguments
- Required nested blocks
- Optional nested blocks
Meta-arguments (bottom) :
- depends_on
- lifecycle (with sub-order: create_before_destroy, ignore_changes, )

Separate sections with blank lines.

Module Block Ordering

Severity: SHOULD | Requirement: TFNFR9

Order within module blocks:

Top meta-arguments :
- source
- version
- count
- for_each
Arguments (alphabetical) :
- Required arguments
- Optional arguments
Bottom meta-arguments :
- depends_on
- providers

Lifecycle ignore_changes Syntax

Severity: MUST | Requirement: TFNFR10

The ignore_changes attribute MUST NOT be enclosed in double quotes.

Good:

lifecycle {
  ignore_changes = [tags]
}

Bad:

lifecycle {
  ignore_changes = ["tags"]
}

Null Comparison for Conditional Creation

Severity: SHOULD | Requirement: TFNFR11

For parameters requiring conditional resource creation, wrap with object type to avoid "known after apply" issues during plan stage.

Recommended:

variable "security_group" {
  type = object({
    id = string
  })
  default = null
}

Dynamic Blocks for Optional Nested Objects

Severity: MUST | Requirement: TFNFR12

Nested blocks under conditions MUST use this pattern:

dynamic "identity" {
  for_each = <condition> ? [<some_item>] : []

  content {
    # block content
  }
}

Default Values with coalesce/try

Severity: SHOULD | Requirement: TFNFR13

Good:

coalesce(var.new_network_security_group_name, "${var.subnet_name}-nsg")

Bad:

var.new_network_security_group_name == null ? "${var.subnet_name}-nsg" : var.new_network_security_group_name

Provider Declarations in Modules

Severity: MUST | Requirement: TFNFR27

provider MUST NOT be declared in modules (except for configuration_aliases)
provider blocks in modules MUST only use alias
Provider configurations SHOULD be passed in by module users

Variable Requirements

Not Allowed Variables

Severity: MUST | Requirement: TFNFR14

Module owners MUST NOT add variables like enabled or module_depends_on to control entire module operation. Boolean feature toggles for specific resources are acceptable.

Variable Definition Order

Severity: SHOULD | Requirement: TFNFR15

Variables SHOULD follow this order:

All required fields (alphabetical)
All optional fields (alphabetical)

Variable Naming Rules

Severity: SHOULD | Requirement: TFNFR16

Follow HashiCorp's naming rules
Feature switches SHOULD use positive statements: xxx_enabled instead of xxx_disabled

Variables with Descriptions

Severity: SHOULD | Requirement: TFNFR17

description SHOULD precisely describe the parameter's purpose and expected data type
Target audience is module users, not developers
For object types, use HEREDOC format

Variables with Types

Severity: MUST | Requirement: TFNFR18

type MUST be defined for every variable
type SHOULD be as precise as possible
any MAY only be used with adequate reasons
Use bool instead of string/number for true/false values
Use concrete object instead of map(any)

Sensitive Data Variables

Severity: SHOULD | Requirement: TFNFR19

If a variable's type is object and contains sensitive fields, the entire variable SHOULD be sensitive = true, or extract sensitive fields into separate variables.

Non-Nullable Defaults for Collections

Severity: SHOULD | Requirement: TFNFR20

Nullable SHOULD be set to false for collection values (sets, maps, lists) when using them in loops. For scalar values, null may have semantic meaning.

Discourage Nullability by Default

Severity: MUST | Requirement: TFNFR21

nullable = true MUST be avoided unless there's a specific semantic need for null values.

Avoid sensitive = false

Severity: MUST | Requirement: TFNFR22

sensitive = false MUST be avoided (this is the default).

Sensitive Default Value Conditions

Severity: MUST | Requirement: TFNFR23

A default value MUST NOT be set for sensitive inputs (e.g., default passwords).

Handling Deprecated Variables

Severity: MUST | Requirement: TFNFR24

Move deprecated variables to deprecated_variables.tf
Annotate with DEPRECATED at the beginning of description
Declare the replacement's name
Clean up during major version releases

Output Requirements

Additional Terraform Outputs

Severity: SHOULD | Requirement: TFFR2

Authors SHOULD NOT output entire resource objects as these may contain sensitive data and the schema can change with API or provider versions.

Best Practices:

Output computed attributes of resources as discrete outputs (anti-corruption layer pattern)
SHOULD NOT output values that are already inputs (except name)
Use sensitive = true for sensitive attributes
For resources deployed with for_each, output computed attributes in a map structure

Examples:

# Single resource computed attribute
output "foo" {
  description = "MyResource foo attribute"
  value       = azurerm_resource_myresource.foo
}

# for_each resources
output "childresource_foos" {
  description = "MyResource children's foo attributes"
  value = {
    for key, value in azurerm_resource_mychildresource : key => value.foo
  }
}

# Sensitive output
output "bar" {
  description = "MyResource bar attribute"
  value       = azurerm_resource_myresource.bar
  sensitive   = true
}

Sensitive Data Outputs

Severity: MUST | Requirement: TFNFR29

Outputs containing confidential data MUST be declared with sensitive = true.

Handling Deprecated Outputs

Severity: MUST | Requirement: TFNFR30

Move deprecated outputs to deprecated_outputs.tf
Define new outputs in outputs.tf
Clean up during major version releases

Local Values Standards

locals.tf Organization

Severity: MAY | Requirement: TFNFR31

locals.tf SHOULD only contain locals blocks
MAY declare locals blocks next to resources for advanced scenarios

Alphabetical Local Arrangement

Severity: MUST | Requirement: TFNFR32

Expressions in locals blocks MUST be arranged alphabetically.

Precise Local Types

Severity: SHOULD | Requirement: TFNFR33

Use precise types (e.g., number for age, not string).

Terraform Configuration Requirements

Terraform Version Requirements

Severity: MUST | Requirement: TFNFR25

terraform.tf requirements:

MUST contain only one terraform block
First line MUST define required_version
MUST include minimum version constraint
MUST include maximum major version constraint
SHOULD use ~> #.# or >= #.#.#, < #.#.# format

Example:

terraform {
  required_version = "~> 1.6"
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~> 4.0"
    }
  }
}

Providers in required_providers

Severity: MUST | Requirement: TFNFR26

terraform block MUST contain required_providers block
Each provider MUST specify source and version
Providers SHOULD be sorted alphabetically
Only include directly required providers
source MUST be in format namespace/name
version MUST include minimum and maximum major version constraints
SHOULD use ~> #.# or >= #.#.#, < #.#.# format

Testing Requirements

Test Tooling

Severity: MUST | Requirement: TFNFR5

Required testing tools for AVM:

Terraform (terraform validate/fmt/test)
terrafmt
Checkov
tflint (with azurerm ruleset)
Go (optional for custom tests)

Test Provider Configuration

Severity: SHOULD | Requirement: TFNFR36

For robust testing, prevent_deletion_if_contains_resources SHOULD be explicitly set to false in test provider configurations.

Documentation Requirements

Module Documentation Generation

Severity: MUST | Requirement: TFNFR2

Documentation MUST be automatically generated via Terraform Docs
A .terraform-docs.yml file MUST be present in the module root

Breaking Changes & Feature Management

Using Feature Toggles

Severity: MUST | Requirement: TFNFR34

New resources added in minor/patch versions MUST have a toggle variable to avoid creation by default:

variable "create_route_table" {
  type     = bool
  default  = false
  nullable = false
}

resource "azurerm_route_table" "this" {
  count = var.create_route_table ? 1 : 0
  # ...
}

Reviewing Potential Breaking Changes

Severity: MUST | Requirement: TFNFR35

Breaking changes requiring caution:

Resource blocks:

Adding new resource without conditional creation
Adding arguments with non-default values
Adding nested blocks without dynamic
Renaming resources without moved blocks
Changing count to for_each or vice versa

Variable/Output blocks:

Deleting/renaming variables
Changing variable type
Changing variable default values
Changing nullable to false
Changing sensitive from false to true
Adding variables without default
Deleting outputs
Changing output value
Changing output sensitive value

Contribution Standards

GitHub Repository Branch Protection

Severity: MUST | Requirement: TFNFR3

Module owners MUST set branch protection policies on the default branch (typically main):

Require Pull Request before merging
Require approval of most recent reviewable push
Dismiss stale PR approvals when new commits are pushed
Require linear history
Prevent force pushes
Not allow deletions
Require CODEOWNERS review
No bypassing settings allowed
Enforce for administrators

Compliance Checklist

Use this checklist when developing or reviewing Azure Verified Modules:

Module Structure

Module cross-references use registry sources with pinned versions
Azure providers (azurerm/azapi) versions meet AVM requirements
.terraform-docs.yml present in module root
CODEOWNERS file present

Code Style

All names use lower snake_casing
Resources ordered with dependencies first
for_each uses map() or set() with static keys
Resource/data/module blocks follow proper internal ordering
ignore_changes not quoted
Dynamic blocks used for conditional nested objects
coalesce() or try() used for default values

Variables

No enabled or module_depends_on variables
Variables ordered: required (alphabetical) then optional (alphabetical)
All variables have precise types (avoid any)
All variables have descriptions
Collections have nullable = false
No sensitive = false declarations
No default values for sensitive inputs
Deprecated variables moved to deprecated_variables.tf

Outputs

Outputs use anti-corruption layer pattern (discrete attributes)
Sensitive outputs marked sensitive = true
Deprecated outputs moved to deprecated_outputs.tf

Terraform Configuration

terraform.tf has version constraints (~> format)
required_providers block present with all providers
No provider declarations in module (except aliases)
Locals arranged alphabetically

Testing & Quality

Required testing tools configured
New resources have feature toggles
Breaking changes reviewed and documented

Summary Statistics

Functional Requirements: 3
Non-Functional Requirements: 34
Total Requirements: 37

By Severity

MUST: 21 requirements
SHOULD: 14 requirements
MAY: 2 requirements

Based on: Azure Verified Modules - Terraform Requirements

Weekly Installs

488

Repository

hashicorp/agent-skills

GitHub Stars

481

First Seen

Jan 26, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykPass

Installed on

github-copilot396

opencode377

gemini-cli368

codex363

cursor316

claude-code314

Azure Verified Modules (AVM) 认证要求详解：Terraform 模块开发规范与最佳实践

🇨🇳中文介绍

Azure Verified Modules (AVM) 要求

目录

模块交叉引用

相关 Skills

Azure Provider 要求

代码风格标准

下划线蛇形命名法

资源与数据源排序

Count 与 for_each 的使用

资源与数据块内部排序

模块块排序

Lifecycle ignore_changes 语法

条件性创建的空值比较

可选嵌套对象的动态块

使用 coalesce/try 的默认值

模块中的 Provider 声明

变量要求

不允许的变量

变量定义顺序

变量命名规则

带描述的变量

带类型的变量

敏感数据变量

集合类型的非空默认值

默认不鼓励可空性

避免 sensitive = false

敏感默认值条件

处理已弃用的变量

输出要求

额外的 Terraform 输出

敏感数据输出

处理已弃用的输出

局部值标准

locals.tf 组织

局部值按字母顺序排列

精确的局部值类型

Terraform 配置要求

Terraform 版本要求

required_providers 中的 Providers

测试要求

测试工具

测试 Provider 配置

文档要求

模块文档生成

破坏性变更与功能管理

使用功能开关

审查潜在的破坏性变更

贡献标准

GitHub 仓库分支保护

合规性检查清单

模块结构

代码风格

变量

输出

Terraform 配置

测试与质量

统计摘要

按严重性

🇺🇸English

Azure Verified Modules (AVM) Requirements

Table of Contents

Module Cross-Referencing

Azure Provider Requirements

Code Style Standards

Lower snake_casing

Resource & Data Source Ordering

Count & for_each Usage

Resource & Data Block Internal Ordering

Module Block Ordering

Lifecycle ignore_changes Syntax

Null Comparison for Conditional Creation

Dynamic Blocks for Optional Nested Objects

Default Values with coalesce/try

Provider Declarations in Modules

Variable Requirements

Not Allowed Variables

Variable Definition Order

Variable Naming Rules