はまったのでメモ。
https://registry.terraform.io/providers/petoju/mysql で azure:// のプレフィックスを使わず authentication_plugin=true の設定にして azure-cli から取得したアクセストークンで MySQl に接続すると timeout まで待った後に 以下のエラーが出る
│ Error: failed to connect to MySQL: could not create new connection: could not connect to server: this user requires mysql native password authentication
azure:// を使う。
- terraform mysql provider は利用する認証プラグインを
authentication_pluginで指定する。 - これは値として以下の二つを許容する
nativecleartext
- これが設定されると、go mysql driver に渡す値が以下のように設定される
https://github.com/petoju/terraform-provider-mysql/blob/946a912ae10ebf194599f8359970eb7272cd4d45/mysql/provider.go#L327-L328
var allowClearTextPasswords = authPlugin == cleartextPasswords var allowNativePasswords = authPlugin == nativePasswords - つまり、DSN に付与される値は以下になる
cleartext:allowClearTextPasswords=true&allowNativePasswords=falsenative:allowClearTextPasswords=false&allowNativePasswords=true
- Entra 認証が有効になった MySQL は、何故か認証レスポンスとして
mysql_clear_passwordとmysql_native_passwordの両方を返すらしく、mysql driver の以下の個所でエラーになる https://github.com/go-sql-driver/mysql/blob/1fbafa8082dab81e2c2e8caeb55d569dfeafcf94/auth.go#L304-L311case "mysql_native_password": if !mc.cfg.AllowNativePasswords { return nil, ErrNativePassword } // https://dev.mysql.com/doc/internals/en/secure-password-authentication.html // Native password authentication only need and will need 20-byte challenge. authResp := scramblePassword(authData[:20], mc.cfg.Passwd) return authResp, nil azure://を指定した場合はこれに対策していて、allowNativePasswordsを設定しないというような事をやっている https://github.com/petoju/terraform-provider-mysql/blob/946a912ae10ebf194599f8359970eb7272cd4d45/mysql/provider.go#L483-L485// Azure AD does not support native password authentication but go-sql-driver/mysql // has to be configured only with ?allowClearTextPasswords=true not with allowNativePasswords=false in this case allowClearTextPasswords = true