Azure 基础设施导入 Terraform 代码工具 - 使用 AVM 模块自动化转换

import-infrastructure-as-code by github/awesome-copilot

5,400 周安装量

26,700 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/github/awesome-copilot --skill import-infrastructure-as-code

开发云服务开发运维

🇨🇳中文介绍

导入基础设施即代码（Azure -> 使用 AVM 的 Terraform）

使用发现数据和 Azure 已验证模块，将现有 Azure 基础设施转换为可维护的 Terraform 代码。

何时使用此技能

当用户要求以下操作时使用此技能：

将现有 Azure 资源导入 Terraform
从实时 Azure 环境生成 IaC
处理 AVM 支持的任何 Azure 资源类型（并记录有理由的非 AVM 回退方案）
从订阅或资源组重新创建基础设施
映射已发现的 Azure 资源之间的依赖关系
使用 AVM 模块而非手写的 azurerm_* 资源

先决条件

已安装并完成身份验证的 Azure CLI (az login)
对目标订阅或资源组的访问权限
已安装 Terraform CLI
对 Terraform Registry 和 AVM 索引源的网络访问权限

输入

参数	必需	默认值	描述
`subscription-id`	否	活动的 CLI 上下文

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

1) 收集所需范围（必需）

在运行发现命令之前，请求以下范围之一：

订阅范围：<subscription-id>
资源组范围：<resource-group-name>
特定资源范围：一个或多个 <resource-id> 值

范围处理规则：

将 Azure ARM 资源 ID（例如 /subscriptions/.../providers/...）视为云资源标识符，而非本地文件系统路径。
仅将资源 ID 与 Azure CLI --ids 参数一起使用（例如 az resource show --ids <resource-id>）。
除非用户明确说明它们是本地文件路径，否则切勿将资源 ID 传递给文件读取命令（cat、ls、read_file、通配符搜索）。
如果用户已提供一个有效范围，除非失败的命令需要，否则不要询问额外的范围输入。
不要询问可以从已提供的范围值中得到答案的后续问题。

如果缺少范围，请明确询问并停止。

2) 身份验证和设置上下文

仅运行所选范围所需的命令。

对于订阅范围：

az login
az account set --subscription <subscription-id>
az account show --query "{subscriptionId:id, name:name, tenantId:tenantId}" -o json

预期输出：包含 subscriptionId、name 和 tenantId 的 JSON 对象。

对于资源组或特定资源范围，仍然需要 az login，但如果活动上下文已正确，则 az account set 是可选的。

使用特定资源范围时，优先使用基于 --ids 的直接命令，除非具体命令需要，否则避免为订阅或资源组进行额外的发现提示。

3) 运行发现命令

使用所选范围发现资源。确保获取所有必要信息以生成准确的 Terraform 代码。

# 订阅范围
az resource list --subscription <subscription-id> -o json

# 资源组范围
az resource list --resource-group <resource-group-name> -o json

# 特定资源范围
az resource show --ids <resource-id-1> <resource-id-2> ... -o json

预期输出：包含 Azure 资源元数据（id、type、name、location、tags、properties）的 JSON 对象或数组。

4) 在生成代码前解析依赖关系

解析导出的 JSON 并映射：

父子关系（例如：NIC -> 子网 -> VNet）
properties 中的跨资源引用
Terraform 创建的排序

重要：生成以下文档并保存到项目根目录的 docs 文件夹中。

exported-resources.json：包含所有已发现资源及其元数据，包括依赖关系和引用。
EXPORTED-ARCHITECTURE.MD 文件：基于已发现资源及其关系，提供人类可读的架构概述。

5) 选择 Azure 已验证模块（必需）

为每种资源类型使用最新的 AVM 版本。

搜索 "avm" + 资源名称
按 "Partner" 标签筛选以查找官方 AVM 模块
示例：搜索 "avm storage account" → 按 Partner 筛选

注意： 以下链接始终指向主分支上最新版本的 CSV 文件。正如设计意图，这意味着文件可能会随时间变化。如果需要特定时间点的版本，请考虑在 URL 中使用特定的发布标签。

Terraform 资源模块 : https://raw.githubusercontent.com/Azure/Azure-Verified-Modules/refs/heads/main/docs/static/module-indexes/TerraformResourceModules.csv
Terraform 模式模块 : https://raw.githubusercontent.com/Azure/Azure-Verified-Modules/refs/heads/main/docs/static/module-indexes/TerraformPatternModules.csv
Terraform 实用程序模块 : https://raw.githubusercontent.com/Azure/Azure-Verified-Modules/refs/heads/main/docs/static/module-indexes/TerraformUtilityModules.csv

如果本地 .terraform 文件夹中没有模块信息，请使用 web 工具或其他合适的 MCP 方法来获取模块信息。

Registry: https://registry.terraform.io/modules/Azure/<module>/azurerm/latest
GitHub: https://github.com/Azure/terraform-azurerm-avm-res-<service>-<resource>

当存在 AVM 模块时，优先使用 AVM 模块而非手写的 azurerm_* 资源。

从 GitHub 仓库获取模块信息时，仓库根目录下的 README.md 文件通常包含有关模块的所有详细信息，例如：https://raw.githubusercontent.com/Azure/terraform-azurerm-avm-res--/refs/heads/main/README.md

5a) 在编写任何代码前阅读模块 README（必需）

此步骤不是可选的。 在为模块编写任何一行 HCL 代码之前，请获取并阅读该模块的完整 README。不要依赖对原始 azurerm 提供程序的了解或之前使用其他 AVM 模块的经验。

对于每个选定的 AVM 模块，获取其 README：

https://raw.githubusercontent.com/Azure/terraform-azurerm-avm-res-<service>-<resource>/refs/heads/main/README.md

或者，如果在 terraform init 后模块已下载：

cat .terraform/modules/<module_key>/README.md

从 README 中，在编写代码之前 提取并记录：

必需输入 — 模块所需的每个输入。此处列出的任何子资源（NIC、扩展、子网、公共 IP）都在模块内部管理。请不要为这些资源创建独立的模块块。
可选输入 — 确切的 Terraform 变量名称及其声明的 type。不要假设它们与原始 azurerm 提供程序的参数名称或块结构匹配。
使用示例 — 检查使用了哪种资源组标识符（parent_id 与 resource_group_name），子资源如何表达（内联映射与独立模块），以及每个输入期望的语法。

将模块规则作为模式应用，而非假设

使用以下经验教训作为类型不匹配的示例，这种不匹配常常导致导入失败。不要假设这些确切的名称适用于每个 AVM 模块。始终验证每个选定模块的 README 和 variables.tf。

avm-res-compute-virtualmachine（任何版本）

network_interfaces 是一个必需输入。NIC 由 VM 模块拥有。切勿在 VM 模块旁边创建独立的 avm-res-network-networkinterface 模块 — 在 network_interfaces 下内联定义每个 NIC。
TrustedLaunch 通过顶层布尔值 secure_boot_enabled = true 和 vtpm_enabled = true 来表达。security_type 参数仅存在于 os_disk 下，用于机密 VM 磁盘加密，不得用于 TrustedLaunch。
boot_diagnostics 是一个 bool，而不是对象。使用 boot_diagnostics = true；如果需要存储 URI，请使用单独的 boot_diagnostics_storage_account_uri 变量。
扩展通过 extensions 映射在模块内部管理。不要创建独立的扩展资源。

avm-res-network-virtualnetwork（任何版本）

此模块由 AzAPI 提供程序支持，而非 azurerm。使用 parent_id（完整的资源组资源 ID 字符串）来指定资源组，而不是 resource_group_name。
README 中的每个示例都显示 parent_id；没有显示 resource_group_name 的。

所有 AVM 模块的通用要点：

在创建同级模块之前，从必需输入确定子资源的所有权。
从可选输入和 variables.tf 确定接受的变量名称和类型。
从 README 使用示例确定标识符样式和输入形状。
不要从原始 azurerm_* 资源推断参数名称。

6) 生成 Terraform 文件

在编写导入块之前 — 检查模块源（必需）

在 terraform init 下载模块后，检查每个模块的源文件，以确定确切的 Terraform 资源地址，然后再编写任何 import {} 块。切勿凭记忆编写导入地址。

步骤 A — 识别提供程序和资源标签

grep "^resource" .terraform/modules/<module_key>/main*.tf

这将揭示模块使用的是 azurerm_* 还是 azapi_resource 标签。例如，avm-res-network-virtualnetwork 暴露的是 azapi_resource "vnet"，而不是 azurerm_virtual_network "this"。

步骤 B — 识别子模块和嵌套路径

grep "^module" .terraform/modules/<module_key>/main*.tf

如果子资源在子模块中管理（子网、扩展等），则导入地址必须包含每个中间模块标签：

module.<root_module_key>.module.<child_module_key>["<map_key>"].<resource_type>.<label>[<index>]

步骤 C — 检查 `count` 与 `for_each`

grep -n "count\|for_each" .terraform/modules/<module_key>/main*.tf

任何使用 count 的资源都需要在导入地址中包含索引。当 count = 1 时（例如，有条件的 Linux 与 Windows 选择），地址必须以 [0] 结尾。使用 for_each 的资源使用字符串键，而不是数字索引。

已知的导入地址模式（从经验教训中得出的示例）

这些只是示例。将它们用作推理的模板，然后从当前导入的模块的已下载源代码中推导出确切的地址。

资源	正确的导入 `to` 地址模式
AzAPI 支持的 VNet	`module.<vnet_key>.azapi_resource.vnet`
子网（嵌套，基于 count）	`module.<vnet_key>.module.subnet["<subnet_name>"].azapi_resource.subnet[0]`
Linux VM（基于 count）	`module.<vm_key>.azurerm_linux_virtual_machine.this[0]`
VM NIC	`module.<vm_key>.azurerm_network_interface.virtualmachine_network_interfaces["<nic_key>"]`
VM 扩展（默认 deploy_sequence=5）	`module.<vm_key>.module.extension["<ext_name>"].azurerm_virtual_machine_extension.this`
VM 扩展（deploy_sequence=1–4）	`module.<vm_key>.module.extension_<n>["<ext_name>"].azurerm_virtual_machine_extension.this`
NSG-NIC 关联	`module.<vm_key>.azurerm_network_interface_security_group_association.this["<nic_key>-<nsg_key>"]`

providers.tf：包含 azurerm 提供程序和所需的版本约束
main.tf：包含 AVM 模块块和显式依赖关系
variables.tf：用于环境特定值
outputs.tf：用于关键 ID 和端点
terraform.tfvars.example：包含占位符值

对比实时属性与模块默认值（必需）

编写初始配置后，将每个已发现的实时资源的每个非零属性与相应 AVM 模块的 variables.tf 中声明的默认值进行比较。任何实时值与模块默认值不同的属性都必须在 Terraform 配置中显式设置。

特别注意以下属性类别，它们是导致静默配置漂移的常见来源：

超时值（例如，公共 IP idle_timeout_in_minutes 默认为 4；实时部署通常使用 30）
网络策略标志（例如，子网 private_endpoint_network_policies 默认为 "Enabled"；现有子网通常为 "Disabled"）
SKU 和分配（例如，公共 IP sku、allocation_method）
可用性区域（例如，VM 区域、公共 IP 区域）
存储和数据库资源的冗余和复制设置

使用显式的 az 命令检索完整的实时属性，例如：

az network public-ip show --ids <resource_id> --query "{idleTimeout:idleTimeoutInMinutes, sku:sku.name, zones:zones}" -o json
az network vnet subnet show --ids <resource_id> --query "{privateEndpointPolicies:privateEndpointNetworkPolicies, delegation:delegations}" -o json

不要仅依赖 az resource list 的输出，它可能省略嵌套或计算属性。

显式固定模块版本：

module "example" {
	source  = "Azure/<module>/azurerm"
	version = "<latest-compatible-version>"
}

7) 验证生成的代码

terraform init
terraform fmt -recursive
terraform validate
terraform plan

预期输出：无语法错误，无验证错误，并且计划与已发现的基础设施意图匹配。

问题	可能原因	操作
`az` 命令因授权错误失败	错误的租户/订阅或缺少 RBAC 角色	重新运行 `az login`，验证订阅上下文，确认所需权限
发现输出为空	范围不正确或范围内无资源	重新检查范围输入并再次运行范围列表/显示命令
未找到资源类型的 AVM 模块	资源类型尚未被 AVM 覆盖	对该类型使用原生的 `azurerm_*` 资源并记录差距
`terraform validate` 失败	缺少变量或未解决的依赖关系	添加必需的变量和显式依赖关系，然后重新运行验证
未知参数或模块中未找到变量	AVM 变量名称与 `azurerm` 提供程序参数名称不同	阅读模块 README 的 `variables.tf` 或可选输入部分以获取正确的名称
导入块失败 — 在地址处未找到资源	错误的提供程序标签（`azurerm_` 与 `azapi_`）、缺少子模块路径或缺少 `[0]` 索引	运行 `grep "^resource" .terraform/modules/<key>/main*.tf` 和 `grep "^module"` 以查找确切地址
`terraform plan` 显示导入的资源出现意外的 `~ update`	实时值与 AVM 模块默认值不同	使用 `az <resource> show` 获取实时属性，与模块默认值比较，添加显式值
子资源模块给出“提供程序配置不存在”	子资源被声明为独立模块，即使父模块拥有它们	检查 README 中的必需输入，删除不正确的独立模块，并使用父模块文档化的输入结构对子资源进行建模
嵌套子资源导入失败，提示“未找到资源”	缺少中间模块路径、错误的映射键或缺少索引	检查源中的模块块和 `count`/`for_each`；构建完整的嵌套导入地址，包括所有模块段以及所需的键/索引
工具尝试将 ARM 资源 ID 读取为文件路径或重复询问范围问题	资源 ID 未被当作 `--ids` 输入处理，或代理不信任已提供的范围	将 ARM ID 严格视为云标识符，使用 `az ... --ids ...`，并且在存在一个有效范围后停止重新提示

返回结果时，请提供：

使用的范围（订阅、资源组或资源 ID）
创建的发现文件
检测到的资源类型
选择的 AVM 模块及其版本
生成或更新的 Terraform 文件
验证命令结果
需要用户输入的未解决问题（如果有）

代理的执行规则

如果缺少范围，请不要继续。
如果没有列出已发现的文件和验证输出，请不要声称导入成功。
在生成 Terraform 之前，不要跳过依赖关系映射。
优先使用 AVM 模块；明确说明每个非 AVM 回退的理由。
在编写代码之前，阅读每个 AVM 模块的 README。 必需输入标识模块拥有哪些子资源。可选输入记录确切的变量名称和类型。使用示例显示提供程序特定的约定（parent_id 与 resource_group_name）。跳过 README 是基于 AVM 的导入中代码错误的唯一最常见原因。
切勿假设 NIC、扩展或公共 IP 资源是独立的。 对于任何 AVM 模块，除非 README 明确指示需要单独的模块，否则将子资源视为父模块所有。在创建同级模块之前检查必需输入。
切勿凭记忆编写导入地址。 在 terraform init 之后，grep 已下载的模块源，以发现实际的提供程序（azurerm 与 azapi）、资源标签、子模块嵌套以及 count 与 for_each 的使用情况，然后再编写任何 import {} 块。
切勿将 ARM 资源 ID 视为文件路径。 资源 ID 属于 Azure CLI --ids 参数和 API 查询，而不是文件 IO 工具。仅当提供了真实的工作空间路径时才读取本地文件。
当范围已知时，尽量减少提示。 如果已经提供了订阅、资源组或特定资源 ID，请直接继续执行命令，并且仅当命令因缺少必需的上下文而失败时才询问后续问题。
在 terraform plan 显示 0 个销毁和 0 个不需要的更改之前，不要声明导入完成。 遥测 + create 资源是可以接受的。任何对真实基础设施资源的 ~ update 或 - destroy 都必须解决。

🇺🇸English

Import Infrastructure as Code (Azure -> Terraform with AVM)

Convert existing Azure infrastructure into maintainable Terraform code using discovery data and Azure Verified Modules.

When to Use This Skill

Use this skill when the user asks to:

Import existing Azure resources into Terraform
Generate IaC from live Azure environments
Handle any Azure resource type supported by AVM (and document justified non-AVM fallbacks)
Recreate infrastructure from a subscription or resource group
Map dependencies between discovered Azure resources
Use AVM modules instead of handwritten azurerm_* resources

Prerequisites

Azure CLI installed and authenticated (az login)
Access to the target subscription or resource group
Terraform CLI installed
Network access to Terraform Registry and AVM index sources

Inputs

Parameter	Required	Default	Description
`subscription-id`	No	Active CLI context	Azure subscription used for subscription-scope discovery and context setting
`resource-group-name`	No	None	Azure resource group used for resource-group-scope discovery
`resource-id`	No	None	One or more Azure ARM resource IDs used for specific-resource-scope discovery

At least one of subscription-id, resource-group-name, or resource-id is required.

Step-by-Step Workflows

1) Collect Required Scope (Mandatory)

Request one of these scopes before running discovery commands:

Subscription scope: <subscription-id>
Resource group scope: <resource-group-name>
Specific resources scope: one or more <resource-id> values

Scope handling rules:

Treat Azure ARM resource IDs (for example /subscriptions/.../providers/...) as cloud resource identifiers, not local file system paths.
Use resource IDs only with Azure CLI --ids arguments (for example az resource show --ids <resource-id>).
Never pass resource IDs to file-reading commands (cat, ls, read_file, glob searches) unless the user explicitly says they are local file paths.
If the user already provided one valid scope, do not ask for additional scope inputs unless required by a failing command.
Do not ask follow-up questions that can be answered from already-provided scope values.

If scope is missing, ask for it explicitly and stop.

2) Authenticate and Set Context

Run only the commands required for the selected scope.

For subscription scope:

az login
az account set --subscription <subscription-id>
az account show --query "{subscriptionId:id, name:name, tenantId:tenantId}" -o json

Expected output: JSON object with subscriptionId, name, and tenantId.

For resource group or specific resource scope, az login is still required but az account set is optional if the active context is already correct.

When using specific resource scope, prefer direct --ids-based commands first and avoid extra discovery prompts for subscription or resource group unless needed for a concrete command.

3) Run Discovery Commands

Discover resources using the selected scopes. Ensure to fetch all necessary information for accurate Terraform generation.

# Subscription scope
az resource list --subscription <subscription-id> -o json

# Resource group scope
az resource list --resource-group <resource-group-name> -o json

# Specific resource scope
az resource show --ids <resource-id-1> <resource-id-2> ... -o json

Expected output: JSON object or array containing Azure resource metadata (id, type, name, location, tags, properties).

4) Resolve Dependencies Before Code Generation

Parse exported JSON and map:

Parent-child relationships (for example: NIC -> Subnet -> VNet)
Cross-resource references in properties
Ordering for Terraform creation

IMPORTANT: Generate the following documentation and save it to a docs folder in the root of the project.

exported-resources.json with all discovered resources and their metadata, including dependencies and references.
EXPORTED-ARCHITECTURE.MD file with a human-readable architecture overview based on the discovered resources and their relationships.

5) Select Azure Verified Modules (Required)

Use the latest AVM version for each resource type.

Terraform Registry

Search for "avm" + resource name
Filter by "Partner" tag to find official AVM modules
Example: Search "avm storage account" → filter by Partner

Official AVM Index

Note: The following links always point to the latest version of the CSV files on the main branch. As intended, this means the files may change over time. If you require a point-in-time version, consider using a specific release tag in the URL.

Terraform Resource Modules : https://raw.githubusercontent.com/Azure/Azure-Verified-Modules/refs/heads/main/docs/static/module-indexes/TerraformResourceModules.csv
Terraform Pattern Modules : https://raw.githubusercontent.com/Azure/Azure-Verified-Modules/refs/heads/main/docs/static/module-indexes/TerraformPatternModules.csv
Terraform Utility Modules : https://raw.githubusercontent.com/Azure/Azure-Verified-Modules/refs/heads/main/docs/static/module-indexes/TerraformUtilityModules.csv

Individual Module information

Use the web tool or another suitable MCP method to get module information if not available locally in the .terraform folder.

Use AVM sources:

Registry: https://registry.terraform.io/modules/Azure/<module>/azurerm/latest
GitHub: https://github.com/Azure/terraform-azurerm-avm-res-<service>-<resource>

Prefer AVM modules over handwritten azurerm_* resources when an AVM module exists.

When fetching module information from GitHub repositories, the README.md file in the root of the repository typically contains all detailed information about the module, for example: https://raw.githubusercontent.com/Azure/terraform-azurerm-avm-res--/refs/heads/main/README.md

5a) Read the Module README Before Writing Any Code (Mandatory)

This step is not optional. Before writing a single line of HCL for a module, fetch and read the full README for that module. Do not rely on knowledge of the raw azurerm provider or prior experience with other AVM modules.

For each selected AVM module, fetch its README:

https://raw.githubusercontent.com/Azure/terraform-azurerm-avm-res-<service>-<resource>/refs/heads/main/README.md

Or if the module is already downloaded after terraform init:

cat .terraform/modules/<module_key>/README.md

From the README, extract and record before writing code :

Required Inputs — every input the module requires. Any child resource listed here (NICs, extensions, subnets, public IPs) is managed inside the module. Do not create standalone module blocks for those resources.
Optional Inputs — the exact Terraform variable names and their declared type. Do not assume they match the raw azurerm provider argument names or block shapes.
Usage examples — check what resource group identifier is used (parent_id vs resource_group_name), how child resources are expressed (inline map vs separate module), and what syntax each input expects.

Apply module rules as patterns, not assumptions

Use the lessons below as examples of the type of mismatch that often causes imports to fail. Do not assume these exact names apply to every AVM module. Always verify each selected module's README and variables.tf.

avm-res-compute-virtualmachine (any version)

network_interfaces is a Required Input. NICs are owned by the VM module. Never create standalone avm-res-network-networkinterface modules alongside a VM module — define every NIC inline under network_interfaces.
TrustedLaunch is expressed through the top-level booleans secure_boot_enabled = true and vtpm_enabled = true. The security_type argument exists only under os_disk for Confidential VM disk encryption and must not be used for TrustedLaunch.
boot_diagnostics is a bool, not an object. Use boot_diagnostics = true; use the separate variable if a storage URI is needed.

avm-res-network-virtualnetwork (any version)

This module is backed by the AzAPI provider, not azurerm. Use parent_id (the full resource group resource ID string) to specify the resource group, not resource_group_name.
Every example in the README shows parent_id; none show resource_group_name.

Generalized takeaway for all AVM modules:

Determine child resource ownership from Required Inputs before creating sibling modules.
Determine accepted variable names and types from Optional Inputs and variables.tf.
Determine identifier style and input shape from README usage examples.
Do not infer argument names from raw azurerm_* resources.

6) Generate Terraform Files

Before Writing Import Blocks — Inspect Module Source (Mandatory)

After terraform init downloads the modules, inspect each module's source files to determine the exact Terraform resource addresses before writing any import {} blocks. Never write import addresses from memory.

Step A — Identify the provider and resource label

grep "^resource" .terraform/modules/<module_key>/main*.tf

This reveals whether the module uses azurerm_* or azapi_resource labels. For example, avm-res-network-virtualnetwork exposes azapi_resource "vnet", not azurerm_virtual_network "this".

Step B — Identify child modules and nested paths

grep "^module" .terraform/modules/<module_key>/main*.tf

If child resources are managed in a sub-module (subnets, extensions, etc.), the import address must include every intermediate module label:

module.<root_module_key>.module.<child_module_key>["<map_key>"].<resource_type>.<label>[<index>]

Step C — Check for `count` vs `for_each`

grep -n "count\|for_each" .terraform/modules/<module_key>/main*.tf

Any resource using count requires an index in the import address. When count = 1 (e.g., conditional Linux vs Windows selection), the address must end with [0]. Resources using for_each use string keys, not numeric indexes.

Known import address patterns (examples from lessons learned)

These are examples only. Use them as templates for reasoning, then derive the exact addresses from the downloaded source code for the modules in your current import.

Resource	Correct import `to` address pattern
AzAPI-backed VNet	`module.<vnet_key>.azapi_resource.vnet`
Subnet (nested, count-based)	`module.<vnet_key>.module.subnet["<subnet_name>"].azapi_resource.subnet[0]`
Linux VM (count-based)	`module.<vm_key>.azurerm_linux_virtual_machine.this[0]`
VM NIC	`module.<vm_key>.azurerm_network_interface.virtualmachine_network_interfaces["<nic_key>"]`
VM extension (default deploy_sequence=5)	`module.<vm_key>.module.extension["<ext_name>"].azurerm_virtual_machine_extension.this`

Produce:

providers.tf with azurerm provider and required version constraints
main.tf with AVM module blocks and explicit dependencies
variables.tf for environment-specific values
outputs.tf for key IDs and endpoints
terraform.tfvars.example with placeholder values

Diff Live Properties Against Module Defaults (Mandatory)

After writing the initial configuration, compare every non-zero property of each discovered live resource against the default value declared in the corresponding AVM module's variables.tf. Any property where the live value differs from the module default must be set explicitly in the Terraform configuration.

Pay particular attention to the following property categories, which are common sources of silent configuration drift:

Timeout values (e.g., Public IP idle_timeout_in_minutes defaults to 4; live deployments often use 30)
Network policy flags (e.g., subnet private_endpoint_network_policies defaults to "Enabled"; existing subnets often have "Disabled")
SKU and allocation (e.g., Public IP sku, allocation_method)
Availability zones (e.g., VM zone, Public IP zone)
Redundancy and replication settings on storage and database resources

Retrieve full live properties with explicit az commands, for example:

az network public-ip show --ids <resource_id> --query "{idleTimeout:idleTimeoutInMinutes, sku:sku.name, zones:zones}" -o json
az network vnet subnet show --ids <resource_id> --query "{privateEndpointPolicies:privateEndpointNetworkPolicies, delegation:delegations}" -o json

Do not rely solely on az resource list output, which may omit nested or computed properties.

Pin module versions explicitly:

module "example" {
	source  = "Azure/<module>/azurerm"
	version = "<latest-compatible-version>"
}

7) Validate Generated Code

Run:

terraform init
terraform fmt -recursive
terraform validate
terraform plan

Expected output: no syntax errors, no validation errors, and a plan that matches discovered infrastructure intent.

Troubleshooting

Problem	Likely Cause	Action
`az` command fails with authorization errors	Wrong tenant/subscription or missing RBAC role	Re-run `az login`, verify subscription context, confirm required permissions
Discovery output is empty	Incorrect scope or no resources in scope	Re-check scope input and run scoped list/show command again
No AVM module found for a resource type	Resource type not yet covered by AVM	Use native `azurerm_*` resource for that type and document the gap
`terraform validate` fails	Missing variables or unresolved dependencies	Add required variables and explicit dependencies, then re-run validation
Unknown argument or variable not found in module

Response Contract

When returning results, provide:

Scope used (subscription, resource group, or resource IDs)
Discovery files created
Resource types detected
AVM modules selected with versions
Terraform files generated or updated
Validation command results
Open gaps requiring user input (if any)

Execution Rules for the Agent

Do not continue if scope is missing.
Do not claim successful import without listing discovered files and validation output.
Do not skip dependency mapping before generating Terraform.
Prefer AVM modules first; justify each non-AVM fallback explicitly.
Read the README for every AVM module before writing code. Required Inputs identify which child resources the module owns. Optional Inputs document exact variable names and types. Usage examples show provider-specific conventions (parent_id vs resource_group_name). Skipping the README is the single most common cause of code errors in AVM-based imports.
Never assume NIC, extension, or public IP resources are standalone. For any AVM module, treat child resources as parent-owned unless the README explicitly indicates a separate module is required. Check Required Inputs before creating sibling modules.
Never write import addresses from memory. After terraform init, grep the downloaded module source to discover the actual provider (azurerm vs azapi), resource labels, sub-module nesting, and count vs for_each usage before writing any block.

References

Weekly Installs

5.4K

Repository

github/awesome-copilot

GitHub Stars

26.7K

First Seen

Mar 2, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykWarn

Installed on

codex5.4K

gemini-cli5.4K

opencode5.3K

cursor5.3K

github-copilot5.3K

kimi-cli5.3K

boot_diagnostics_storage_account_uri

Extensions are managed inside the module via the extensions map. Do not create standalone extension resources.

Never treat ARM resource IDs as file paths. Resource IDs belong in Azure CLI --ids arguments and API queries, not file IO tools. Only read local files when a real workspace path is provided.

Minimize prompts when scope is already known. If subscription, resource group, or specific resource IDs are already provided, proceed with commands directly and only ask a follow-up when a command fails due to missing required context.

Do not declare the import complete untilterraform plan shows 0 destroys and 0 unwanted changes. Telemetry + create resources are acceptable. Any ~ update or - destroy on real infrastructure resources must be resolved.

Azure 基础设施导入 Terraform 代码工具 - 使用 AVM 模块自动化转换

🇨🇳中文介绍

导入基础设施即代码（Azure -> 使用 AVM 的 Terraform）

何时使用此技能

先决条件

输入

相关 Skills

分步工作流程

1) 收集所需范围（必需）

2) 身份验证和设置上下文

3) 运行发现命令

4) 在生成代码前解析依赖关系

5) 选择 Azure 已验证模块（必需）

Terraform Registry

官方 AVM 索引

单个模块信息

5a) 在编写任何代码前阅读模块 README（必需）

将模块规则作为模式应用，而非假设

6) 生成 Terraform 文件

在编写导入块之前 — 检查模块源（必需）

步骤 A — 识别提供程序和资源标签

步骤 B — 识别子模块和嵌套路径

步骤 C — 检查 count 与 for_each

已知的导入地址模式（从经验教训中得出的示例）

对比实时属性与模块默认值（必需）

7) 验证生成的代码

故障排除

响应契约

代理的执行规则

参考资料

🇺🇸English

Import Infrastructure as Code (Azure -> Terraform with AVM)

When to Use This Skill

Prerequisites

Inputs

Step-by-Step Workflows

1) Collect Required Scope (Mandatory)

2) Authenticate and Set Context

3) Run Discovery Commands

4) Resolve Dependencies Before Code Generation

5) Select Azure Verified Modules (Required)

Terraform Registry

Official AVM Index

Individual Module information

5a) Read the Module README Before Writing Any Code (Mandatory)

Apply module rules as patterns, not assumptions

6) Generate Terraform Files

Before Writing Import Blocks — Inspect Module Source (Mandatory)

Step A — Identify the provider and resource label

Step B — Identify child modules and nested paths

Step C — Check for count vs for_each

Known import address patterns (examples from lessons learned)

Diff Live Properties Against Module Defaults (Mandatory)

7) Validate Generated Code

Troubleshooting

Response Contract

Execution Rules for the Agent

References

步骤 C — 检查 `count` 与 `for_each`

Step C — Check for `count` vs `for_each`