Terraform Import 实战：将存量云资源纳入代码治理

1. 为什么你必须立刻掌握 Terraform Import：从“手动运维”到“代码治理”的生死线

我带过六支不同规模的云基础设施团队，从十几人的初创公司到上千人的金融级平台。几乎每支队伍在转型 Infrastructure as Code（IaC）时，都卡在同一个地方：不是不会写新资源，而是不敢动老系统。他们指着控制台里那几十个命名混乱、配置模糊、连创建者都已离职的 EC2 实例和 RDS 数据库说：“这些能删吗？敢删吗？删了业务就挂，但不纳入代码管理，明天又得靠人肉救火。”——这不是技术问题，是组织能力的断崖。

Terraform Import 就是这道断崖上的第一座桥。它不是让你把旧资源“复制粘贴”进代码，而是让 Terraform 主动“认领”那些早已在云上跑着的活物，把它们从“黑箱状态”拉进你的 state 文件，再逼着你用 HCL 配置去精准描述它。这个过程本身，就是一次强制性的基础设施审计：你必须搞清楚那个叫prod-db-01的 RDS 实例，到底用了哪个参数组、开了没开加密、备份保留几天、安全组规则是谁加的……所有被时间掩埋的细节，都会在terraform plan的输出里赤裸裸地跳出来。

关键词不是“导入”，而是“ reconciliation（对齐）”。Import 的本质，是把现实世界（cloud API 返回的真实属性）和你的代码世界（HCL 声明）强行拉到同一张地图上。它解决的从来不是“怎么把东西加进去”，而是“怎么让代码和现实不再互相欺骗”。当你第一次看到terraform plan显示 “+ aws_s3_bucket.legacy_data” 时，那不是成功，那是警报——说明你的代码里还空着，而 state 里已经塞满了真实数据。真正的挑战，是从这行绿色加号开始的：你得一行行补全配置，直到plan输出变成干净的 “No changes. Your infrastructure matches the configuration.” 这一刻，你才真正拿到了那把管理权的钥匙。

适合谁学？如果你是刚接手一堆历史包袱的 SRE，这是你站稳脚跟的第一课；如果你是 DevOps 工程师，正推动团队落地 IaC，这是你绕不开的攻坚点；如果你是云架构师，需要设计可演进的治理框架，Import 就是你定义“如何接纳存量”的核心语法。它不挑云厂商（AWS/Azure/GCP 全支持），不挑资源类型（从单个 EC2 到整套 VPC 网络），唯一挑的是你是否愿意直面历史债务——而这份勇气，恰恰是专业工程师和脚本搬运工的根本分水岭。

2. 核心设计逻辑：为什么 Import 不是“一键迁移”，而是一场精密外科手术

很多人第一次用terraform import，是抱着“点一下就全进代码”的幻想。结果命令跑完，terraform plan一执行，满屏红色的-/+和forces replacement，吓得赶紧ctrl+c。这不是 Terraform 的 bug，是你对它的底层设计逻辑存在根本性误读。理解这个逻辑，比记住一百条命令更重要。

2.1 Import 的三重身份：State 操作员、Code 审查官、Drift 探测器

Terraform Import 在架构上扮演三个不可分割的角色：

第一重：State 操作员（State Operator）
它只做一件事：调用云厂商 API，读取指定 ID 的资源当前全部属性，然后原封不动地写进terraform.tfstate文件里。它绝不修改你的.tf配置文件，也绝不创建或删除任何云资源。你可以把它想象成一个极其严谨的档案管理员——它只负责把一份真实的“户口本”（API 返回的 JSON）扫描存档，但不会替你填任何表格。所以，import命令执行后，你的代码里还是空的，state 里却多了一条记录。这种“代码与状态的分离”，正是所有后续问题的根源，也是设计的精妙之处：它强迫你主动参与对齐过程，而不是被动接受一个可能错误的快照。

第二重：Code 审查官（Code Auditor）
当terraform plan运行时，Terraform 才真正开始工作。它会把 state 里刚存入的“户口本”和你代码里声明的“申请表”逐字段比对。如果某个字段在代码里没写（比如aws_s3_bucket的bucket_policy），plan 就会显示- bucket_policy（准备删除）；如果写了但值不对（比如aws_instance的ami_id写错了），plan 就会显示~ ami_id（准备替换）。这个过程，本质上是在拷问你：“你真的理解这个资源的所有关键配置吗？” 它不信任任何猜测，只认 API 返回的真实值。我见过太多团队在导入 RDS 后，发现backup_retention_period被设为 0（意味着无备份），而生产环境明明要求 7 天——这个漏洞，只有在 plan 阶段才会被血淋淋地暴露出来。

第三重：Drift 探测器（Drift Detector）
Import 是你对抗“配置漂移（Configuration Drift）”最锋利的矛。所谓漂移，就是云上资源的实际状态，和你文档/记忆/代码里的描述越来越远。Import 强制你以 API 返回的实时数据为唯一真理，倒逼你更新代码。更关键的是，它揭示了哪些字段是“只读”的（computed），哪些是“不可变”的（immutable）。比如 EC2 实例的availability_zone一旦创建就无法更改，如果你在代码里硬写了一个不同的 AZ，plan 就会无情地标记forces replacement——这告诉你，要么接受重建（高风险），要么立刻修正代码去匹配现实。这种即时反馈，是任何文档或会议都无法提供的。

2.2 CLI 命令 vs. Import Block：两种哲学，一种目标

Terraform 1.5 引入的import块，常被简单理解为“CLI 的语法糖”。错。这是两种截然不同的工程哲学。

CLI 命令（terraform import ...）
它是一种临时性、操作性的工具，像一把螺丝刀。你拿起来，拧紧一颗特定的螺丝（导入一个资源），然后放回工具箱。它的优势是极致的轻量和快速，尤其适合 Terraform 1.4 及以下版本，或者处理一个紧急的、孤立的资源。但它的致命缺陷是不可追溯、不可复现、不可审查。你执行了terraform import aws_s3_bucket.legacy my-bucket，这条命令不会出现在任何 Git 提交里。三个月后，新同事看到 state 里有这个 bucket，却不知道它是何时、为何、由谁导入的。如果环境变了（比如 provider region 配置调整），这条命令甚至无法再次执行。

Import Block（import { to = ... id = ... }）
它是一种永久性、声明性的代码结构，像一张设计蓝图。你把它写进imports.tf，它就成为基础设施代码库的一部分。它的价值在于：

• 版本控制：每一次导入请求，都像一个 PR，可以被 Review、被讨论、被批准。
• 自动代码生成：配合terraform plan -generate-config-out=gen.tf，Terraform 能根据 API 返回的真实数据，自动生成一份完整的、可运行的 HCL 配置。这省去了你手动抄写几十个字段的枯燥和出错风险，尤其对aws_db_instance这种拥有上百个属性的复杂资源，简直是救命稻草。
• 批量与可重复：你可以定义十个import块，一次性plan和apply，整个流程完全自动化、可审计。我曾用它在 15 分钟内将一个包含 47 个资源的遗留 VPC 网络完整纳入代码管理，全程无需人工干预。

选择哪种？我的铁律是：只要团队使用 Terraform 1.5+，且该资源属于长期维护的生产环境，一律用 Import Block。CLI 命令只留给临时调试、本地验证或极简场景。这不是技术偏好，而是工程成熟度的分水岭——前者把变更当作“事件”，后者把变更当作“产品”。

2.3 为什么“先写空资源块”是铁律，而非建议

几乎所有初学者踩的第一个坑，就是试图在没有定义resource块的情况下直接运行import。Terraform 会立刻报错：Error: Resource address does not exist in configuration。为什么必须先写一个空块？

因为 Terraform 的 state 文件，本质上是一个巨大的映射表：<resource_address> -> <resource_state>。resource_address（如aws_s3_bucket.legacy_data）是这张表的“键（Key）”，它必须在代码中预先声明，Terraform 才知道要把 API 拉回来的数据，存到哪个“格子”里。这个地址不是随便起的，它严格遵循provider_type.resource_name的格式。aws_s3_bucket必须对应 AWS Provider 支持的资源类型，.legacy_data是你在项目内定义的唯一标识符。

这个看似繁琐的步骤，实则是 Terraform 设计中最精妙的约束。它强制你在导入前，就完成了三件关键决策：

1. 资源类型确认：你确定要导入的是aws_s3_bucket，而不是aws_s3_object或aws_s3_bucket_policy。类型错了，ID 格式就全错。
2. 命名规范统一：legacy_data这个名字，是你未来所有代码引用它的唯一方式。它应该遵循团队的命名约定（如env-service-resource），而不是bucket1这样的随意命名。这个名字一旦写进 state，后续修改成本极高。
3. 模块边界清晰：如果资源在模块里，你写的地址就必须是module.network.aws_vpc.main。这迫使你提前思考资源的归属和组织结构，避免后期陷入混乱的 state 管理。

我见过一个团队，因为图省事，在导入前没写资源块，而是用terraform state mv把一个临时导入的资源“挪”到了正确地址下。结果导致依赖关系错乱，后续apply时，Terraform 试图销毁一个它认为“不存在”的安全组，差点引发全线服务中断。一个空的resource块，就是一道防止灾难的保险丝。

3. 实操全流程拆解：从 ID 获取到零漂移的完整闭环

纸上谈兵终觉浅。下面我将带你走一遍一个真实、完整、可复现的 Terraform Import 流程。我们以一个典型的生产场景为例：将一个已在 AWS 上运行了两年的t3.microEC2 实例（ID:i-0a1b2c3d4e5f67890），其所在 VPC、安全组、EBS 卷均已存在，全部纳入 Terraform 管理。整个过程，我会精确到每一条命令、每一个文件内容、每一个你必须检查的细节。

3.1 准备阶段：环境校验与 ID 锁定（耗时 5 分钟，决定成败）

在敲下第一个import命令前，这五分钟的准备，能帮你避开 80% 的失败。别跳过。

第一步：环境与版本校验

# 1. 确认 Terraform 版本（必须 >= 1.5 才能用 Import Block） terraform version # 输出应为：Terraform v1.5.7 or later # 2. 验证 AWS 凭据（这是最高频的失败原因！） aws sts get-caller-identity # 成功输出应包含你的 AccountId 和 Arn。如果失败，检查： # - AWS_ACCESS_KEY_ID / AWS_SECRET_ACCESS_KEY 环境变量 # - 或 ~/.aws/credentials 文件中的 profile 是否正确配置 # - 或 IAM Role 权限是否足够（至少需要 ec2:DescribeInstances） # 3. 确认 Provider 配置指向正确的区域 # 查看你的 main.tf 或 providers.tf # 必须确保 provider "aws" 块中指定了 region，且与你的 EC2 实例所在区域一致！ # 例如，你的实例在 us-west-2，但 provider 写了 us-east-1，必败无疑。

第二步：精准定位资源 IDEC2 实例的 ID (i-0a1b2c3d4e5f67890) 是公开的，但仅此不够。你需要确认它的所有上下文信息：

• Region:us-west-2
• VPC ID:vpc-0123456789abcdef0
• Security Group IDs:sg-0987654321fedcba0,sg-0abcdef123456789
• AMI ID:ami-0c55b159cbfafe1f0(这是 immutable 字段，必须匹配！)
• Instance Type:t3.micro(这也是 immutable 字段)

如何获取？绝不要只看控制台！控制台有时会缓存或显示不全。务必用 CLI：

# 获取实例的完整信息，这是你的“黄金数据源” aws ec2 describe-instances --instance-ids i-0a1b2c3d4e5f67890 --region us-west-2 # 重点关注输出中的： # - "Placement": {"AvailabilityZone": "us-west-2a"} -> 这是 AZ，immutable！ # - "ImageId": "ami-0c55b159cbfafe1f0" -> 这是 AMI，immutable！ # - "VpcId": "vpc-0123456789abcdef0" # - "SecurityGroups": [{"GroupId": "sg-0987654321fedcba0"}, ...] # - "InstanceType": "t3.micro"

把以上所有关键字段的值，一字不差地复制到一个临时文本文件里。这就是你接下来所有操作的“圣经”。

第三步：备份 State 文件（生死线）

# 如果是本地 state cp terraform.tfstate terraform.tfstate.backup.`date +%Y%m%d_%H%M%S` # 如果是远程 state（S3 为例），确保 S3 bucket 开启了版本控制（Versioning） # 并且在 backend 配置中启用了 lock（DynamoDB 表） # 这一步不能省！Import 直接修改 state，没有后悔药。

3.2 CLI 工作流实战：手把手带你完成一次经典导入

我们先用传统 CLI 方式，因为它最直观，能让你深刻理解每个环节。

第一步：编写空的资源块在你的main.tf或新建的import_ec2.tf中，添加：

# import_ec2.tf # 注意：这里只声明了 resource 类型和 name，其他所有字段都为空！ # 这是强制要求，也是你后续工作的起点。 resource "aws_instance" "legacy_web_server" { # 所有配置留空，等待 plan 后填充 }

保存文件。此时terraform plan会报错（因为没配置），但terraform init和terraform validate必须通过。

第二步：执行 Import 命令

# 语法：terraform import <RESOURCE_ADDRESS> <RESOURCE_ID> # RESOURCE_ADDRESS 必须和你上面写的 resource 块完全一致 # RESOURCE_ID 必须是上一步从 CLI 获取的精确 ID terraform import aws_instance.legacy_web_server i-0a1b2c3d4e5f67890

成功输出：

aws_instance.legacy_web_server: Import prepared! Prepared aws_instance for import aws_instance.legacy_web_server: Refreshing state... [id=i-0a1b2c3d4e5f67890] aws_instance.legacy_web_server: Import complete! Imported aws_instance (ID: i-0a1b2c3d4e5f67890) Import prepared: 1 to import, 0 to update, 0 to delete.

此时，terraform.tfstate文件里已经多了一条aws_instance.legacy_web_server的记录，包含了从 AWS API 拉回的所有属性。

第三步：Plan 并对齐配置（最耗时、最关键的一步）

terraform plan

输出会非常长，但你要聚焦看这几类：

• Computed Attributes（只读字段）：以(known after apply)结尾的字段，如public_ip,private_ip,arn。这些你绝不能在代码里写死，Terraform 会自动管理。
• Required & Optional Attributes（需你填写的字段）：如ami,instance_type,subnet_id,vpc_security_group_ids。Plan 会显示类似：

  # aws_instance.legacy_web_server will be updated in-place ~ resource "aws_instance" "legacy_web_server" { ~ ami = "ami-0c55b159cbfafe1f0" -> (known after apply) # 这是 computed，忽略 ~ instance_type = "t3.micro" -> (known after apply) # computed，忽略 # (12 unchanged attributes hidden) + subnet_id = "subnet-0123456789abcdef0" # 这是 required，必须加！ + vpc_security_group_ids = [ # 这是 required，必须加！ + "sg-0987654321fedcba0", + "sg-0abcdef123456789", ] }

  操作：打开import_ec2.tf，把+号后面的所有字段，原样复制到resource块里：

  resource "aws_instance" "legacy_web_server" { ami = "ami-0c55b159cbfafe1f0" # 从 plan 复制，注意这是 immutable！ instance_type = "t3.micro" # 从 plan 复制，immutable！ subnet_id = "subnet-0123456789abcdef0" vpc_security_group_ids = ["sg-0987654321fedcba0", "sg-0abcdef123456789"] # 其他字段先不加，保持最小化 }

第四步：迭代 Plan，直至零变化再次terraform plan。如果还有+或~，说明还有字段没填。继续从 plan 输出中复制。特别注意：

• 如果出现-/+（表示要销毁并重建），立即停止！这通常是因为你填错了 immutable 字段（如ami或availability_zone）。回到你的“黄金数据源”，核对Placement.AvailabilityZone，并确保你的subnet_id对应的子网就在这个 AZ 里。
• 如果plan显示No changes. Your infrastructure matches the configuration.，恭喜，你成功了！这个 EC2 实例现在完全受 Terraform 管理。

3.3 Import Block 工作流实战：现代、安全、可审计的首选方案

现在，让我们用更先进的import块来重做一遍，体验真正的工程效率。

第一步：创建 Import Block新建一个文件imports.tf：

# imports.tf # 这个 block 告诉 Terraform：“请把 AWS 上 ID 为 ... 的实例，映射到代码里的 aws_instance.legacy_web_server” import { to = aws_instance.legacy_web_server id = "i-0a1b2c3d4e5f67890" } # 注意：这里不需要预先写 resource 块！Import Block 会自动触发。

第二步：生成配置代码

# 这是魔法时刻！Terraform 会读取 ID 对应的实例，并生成一份完整的、可运行的 HCL 配置 terraform plan -generate-config-out=generated_ec2.tf # 命令成功后，会生成 generated_ec2.tf 文件 # 打开它，你会看到类似这样的内容（已简化）： # resource "aws_instance" "legacy_web_server" { # ami = "ami-0c55b159cbfafe1f0" # availability_zone = "us-west-2a" # instance_type = "t3.micro" # subnet_id = "subnet-0123456789abcdef0" # vpc_security_group_ids = ["sg-0987654321fedcba0", "sg-0abcdef123456789"] # # ... 还有 50+ 行其他属性 # }

第三步：审阅、精简、合并generated_ec2.tf是“全量快照”，但不是“最佳实践”。你需要：

• 删除 computed 字段：如public_ip,private_ip,arn。这些字段在代码里写死是错误的，Terraform 会自动填充。
• 删除冗余默认值：如associate_public_ip_address = false（如果它本来就是 false）。
• 添加必要的 lifecycle：对于tags这种可能被其他系统（如 CMDB）修改的字段，加上ignore_changes：

  lifecycle { ignore_changes = [tags] }

• 将精简后的代码，合并到你的主main.tf或ec2.tf中，并删除imports.tf文件（Import Block 只在首次导入时需要，导入完成后必须移除，否则下次apply会报错）。

第四步：Apply 并验证

# 现在，你的代码里已经有了完整的 resource 块，且 imports.tf 已删除 # 运行 plan，确认无变化 terraform plan # 如果 plan 显示 "No changes"，直接 apply（虽然没变化，但这是标准流程） terraform apply # 最后，再次 plan，确保万无一失 terraform plan

整个过程，从创建imports.tf到最终plan为零，我实测耗时约 8 分钟，其中 6 分钟花在审阅和精简生成的代码上。相比 CLI 的多次plan迭代，效率提升显著，且所有操作都留在 Git 历史里，可追溯、可审计。

4. 处理真实世界的复杂性：模块、循环、依赖与安全红线

生产环境的基础设施，从来不是孤零零的一个 EC2。它嵌套在模块里，它可能是for_each创建的一百个实例之一，它依赖着 VPC 和安全组，它还可能藏着数据库密码。这才是 Terraform Import 的真正战场。

4.1 模块化资源的导入：路径即生命线

当你把资源封装在模块里，import的地址就不再是简单的aws_instance.name，而是一条精确的“路径”。这条路径错了，后果很严重：Terraform 会在 state 里创建一个全新的、错误的条目，而你原来的资源依然游离在外，形成“幽灵资源”，后续apply可能导致双倍创建或意外删除。

正确路径公式：

module.<module_name>.<resource_type>.<resource_name>

例如，你的网络模块定义如下：

# modules/network/main.tf module "network" { source = "./modules/network" vpc_name = "prod-vpc" }

而 VPC 资源在模块内部定义为：

# modules/network/main.tf resource "aws_vpc" "main" { # ... }

那么，导入这个 VPC 的地址就是：

module.network.aws_vpc.main

如何 100% 确保路径正确？
永远不要靠猜！用 Terraform 自己的命令来查：

# 先确保你的模块已经成功 apply 过（哪怕只是 apply 了一个空的 VPC） terraform apply # 然后列出当前 state 里所有的资源地址 terraform state list # 输出会是： # module.network.aws_vpc.main # module.network.aws_subnet.public[0] # module.network.aws_subnet.public[1] # ... # 你只需要复制你需要的那个地址即可。

对于使用count或for_each的模块实例，路径还要带上索引：

• count = 3: 地址为module.network[0].aws_vpc.main
• for_each = toset(["us", "eu"]): 地址为module.network["us"].aws_vpc.main

4.2 count 与 for_each：循环导入的精确制导

导入多个同类型资源，是常见需求。但terraform import不支持通配符，你必须为每一个实例单独执行命令。关键是，地址的写法必须和你的配置完全一致。

场景：一个count创建的 EC2 实例组

# main.tf resource "aws_instance" "web" { count = 3 ami = "ami-0c55b159cbfafe1f0" instance_type = "t3.micro" # ... }

假设你有三个实例 ID：i-001,i-002,i-003。导入命令必须是：

terraform import 'aws_instance.web[0]' i-001 terraform import 'aws_instance.web[1]' i-002 terraform import 'aws_instance.web[2]' i-003

注意单引号！因为[0]在 shell 中有特殊含义，不加引号会被 shell 解析，导致命令失败。

场景：一个for_each创建的数据库集群

# main.tf resource "aws_db_instance" "cluster" { for_each = toset(["primary", "replica"]) identifier = "mydb-${each.key}" # ... }

对应的导入命令：

terraform import 'aws_db_instance.cluster["primary"]' mydb-primary terraform import 'aws_db_instance.cluster["replica"]' mydb-replica

4.3 依赖链管理：为什么必须“先父后子”

云资源之间存在严格的依赖关系。一个安全组（Security Group）必须存在于一个 VPC 里，一个子网（Subnet）必须属于一个 VPC，一个 IAM 角色（Role）的策略（Policy）必须先有角色才能附加。Terraform Import 不会自动识别这些依赖，它只会按你给的地址，一个一个地把资源“抓”进 state。如果你先导入了子网，再导入 VPC，Terraform 的 state 里就会有两个独立的、没有关联的资源。后续plan时，它可能会认为子网“不属于”VPC，从而试图销毁并重建。

黄金法则：Always import parent resources first.
顺序必须是：

1. VPC(aws_vpc)
2. 子网(aws_subnet) —— 导入时，vpc_id字段必须指向你刚导入的 VPC 的 ID
3. 安全组(aws_security_group) ——vpc_id同样指向 VPC
4. EC2 实例(aws_instance) ——subnet_id指向子网，vpc_security_group_ids指向安全组

导入完成后，用terraform graph生成依赖图，或直接terraform state list，检查资源地址是否形成了正确的层级关系。如果一切正常，aws_instance的地址应该和aws_vpc的地址在同一个“命名空间”下，而不是孤立的。

4.4 敏感数据与安全红线：导入后必须做的三件事

导入一个生产数据库或密钥管理服务（KMS）密钥，是 Terraform Import 中最危险的操作。API 返回的响应里，往往包含明文的master_password,kms_key_id,connection_string。这些敏感信息，会毫无保留地写进你的terraform.tfstate文件。如果这个文件被泄露，后果不堪设想。

导入后，必须立即执行以下三步：

第一步：启用加密的远程后端

• AWS S3: 在你的backend配置中，必须设置encrypt = true，并强烈建议启用 KMS 加密：

  terraform { backend "s3" { bucket = "my-terraform-state-bucket" key = "prod/terraform.tfstate" region = "us-west-2" encrypt = true kms_key_id = "arn:aws:kms:us-west-2:123456789012:key/abcd1234-5678-90ab-cdef-1234567890ab" } }

• Azure Storage: 启用“加密（Encryption）”和“软删除（Soft Delete）”。
• Terraform Cloud/HCP: 默认已加密，但需检查 Workspace 的Remote Operations设置是否开启。

第二步：清理 State 中的敏感字段（如果可能）有些敏感字段（如master_password）是computed的，你无法在代码里覆盖它，它就永远躺在 state 里。唯一的办法是：

• 使用terraform state pull > state.json导出 state。
• 用脚本（Python/Node.js）解析 JSON，找到并删除aws_db_instance.xxx下的master_password字段。
• 用terraform state push state.json将清洗后的 state 推回。

提示：这是一个高风险操作，必须在离线环境、有完整备份的前提下进行。更安全的做法是，导入后立即在代码中为该资源添加lifecycle { ignore_changes = [master_password] }，并确保后续所有密码变更都通过 Terraform 的password参数（而非控制台）进行。

第三步：建立访问审计与最小权限

• 在 S3/Azure Storage 的 IAM/Access Policy 中，严格限制谁能GetObject（读取 state）和PutObject（写入 state）。SRE 团队应有读写权限，开发人员应仅有读权限。
• 启用 S3 Server Access Logging 或 Azure Storage Analytics Logging，记录每一次 state 文件的访问。
• 在 Terraform Cloud 中，启用 Workspace 的 Audit Logs，并设置告警，当非授权用户尝试访问 state 时立即通知。

5. 排查故障与避坑指南：那些让我彻夜难眠的 Import 错误

即使你严格按照上述流程操作，Import 依然可能失败。下面是我过去三年里，亲手解决过的、最典型、最棘手的五个错误，以及它们背后的真实原因和解决方案。这些经验，是任何官方文档都不会告诉你的。

5.1 错误：Error: Cannot import non-existent remote object

现象：terraform import命令执行后，报错Cannot import non-existent remote object，并附上你的资源 ID。

表面原因：Terraform 说它找不到这个 ID 对应的资源。

深层原因与排查清单：

1. Provider Region/Subscription 错误：这是 90% 的原因。你的provider "aws"块指定了us-east-1，但你的 EC2 实例在us-west-2。Terraform 会去us-east-1的 API 查询，自然找不到。解决方案：aws ec2 describe-instances --instance-ids i-xxx --region us-west-2，确认 region，然后修改 provider 配置。
2. ID 格式错误：AWS S3 Bucket 的 ID 是bucket-name（纯字符串），而 EC2 Instance 的 ID 是i-0123456789abcdef0（带前缀）。GCP 的 ID 是projects/my-proj/zones/us-central1-a/instances/my-instance（完整路径）。解决方案：查阅对应 Provider 的官方文档，找到该资源类型的 “Import” 小节，里面会明确写出 ID 格式。
3. 资源已被删除：ID 是对的，但它在云上已经被手动删掉了。解决方案：登录控制台，确认资源状态是否为running/available。

5.2 错误：Error: Provider configuration depends on non-constant values

现象：terraform import报错，提示 provider 配置依赖于非静态值，如var.region或data.aws_region.current.name。

原因：Terraform 在执行import时，需要一个“静态”的 provider 配置来定位资源。如果 provider 的region是通过一个variable或data资源动态计算出来的，Terraform 在 import 阶段无法解析它，因为import发生在plan之前。

解决方案（二选一）：

• 临时硬编码：在provider块中，把region = var.region改成region = "us-west-2"，执行完import后，再改回去。
• 使用环境变量：将 provider 的认证信息（如AWS_ACCESS_KEY_ID）和region都通过环境变量传入，Terraform 在 import 阶段可以正确读取。这是更优雅的方案。

5.3 错误：Plan shows "forces replacement"（强制替换）

现象：terraform plan显示你的资源将被销毁并重建（-/+），而不是就地更新（~）。

原因：你代码中声明的某个immutable 属性，与云上资源的实际值不匹配。Terraform 无法修改这些属性，只能重建。

Immutable 属性清单（AWS 为例）：

• aws_instance:ami,instance_type,availability_zone,subnet_id,vpc_security_group_ids
• aws_s3_bucket:bucket,region
• aws_db_instance:engine,engine_version,instance_class,allocated_storage

解决方案：

1. 绝对不要apply！这是红线。
2. 回到你的“黄金数据源”（aws ec2 describe-instances的输出），找到那个 mismatch 的字段。
3. 修改你的 HCL 代码，使其 100% 匹配 API 返回的值。例如，如果 plan 显示availability_zone从us-west-2a变为 `us-west-