infra(ci-cd): デプロイ workflow(workflow_dispatch version+environment + 変更検知デプロイ + Environments + Deployments)

[win2cot]

親: #206

概要

ADR-0031 フロー B の実装。workflow_dispatch で version + environment を選び、対象環境に差分のあるコンポーネントのみデプロイする。旧 #481/#482/#483(tag 駆動 app デプロイ)を集約し、#484(infra terraform-apply.yml)を dispatch 化して取り込む。

claude-automation 不適用: workflow 編集系のため case B(人手 PR 固定)。

やること

• on: workflow_dispatch 入力 = version + environment(type: environment ドロップダウン)
• 成果物解決(version の ECR digest / S3 バンドル / infra=vX.Y.Z コミットの terraform)。無ければ fail-closed
• コンポーネント別 job(environment: <選択> で required reviewers ゲート):
  • webapi/keycloak: 目標 digest ≠ 現 digest のときだけ ECS 更新(同 digest = no-op)
  • web: バンドル差分時のみ S3 sync + CloudFront invalidation
  • infra: terraform plan → 承認 → apply(ADR-0028 (iii) 巻き戻し防止ガード継承)。既存 terraform-apply.yml を dispatch 化(infra(ci-cd): Phase 1 Sprint 2 — infra tag → terraform apply(S2Infra-7) #484 の再設計)
• concurrency: deploy-<env> で env ごと直列化、environment: 参照で Deployment 記録、(任意)environment_url
• Environments 整備: dev/stg/prd を作成し reviewers 設定(現 platform-apply/tasks-apply 系を再編)

受入基準

• dispatch(version=v0.1.0, env=dev)で差分コンポーネントのみ dev にデプロイ、Deployments に記録
• stg/prd は required reviewers 承認後にデプロイ
• 未変更コンポーネントは no-op(rolling update が起きない)

関連

• ADR-0031 §6 フロー B / 置換元 infra(ci-cd): Phase 1 Sprint 2 — tasks-webapi tag → ECR push + ECS update(S2Infra-4) #481・infra(ci-cd): Phase 1 Sprint 2 — keycloak custom tag → ECR push + ECS update(S2Infra-5) #482・infra(ci-cd): Phase 1 Sprint 2 — frontend tag → S3 sync + CloudFront invalidation(S2Infra-6) #483 / 再設計 infra(ci-cd): Phase 1 Sprint 2 — infra tag → terraform apply(S2Infra-7) #484 / 親 [Phase 1 Infra] Setup 0-2 + Sprint 0-5 Infra ストリーム横断 tracker #206

[win2cot]

infra-v* タグトリガは #637 / PR で撤去済(infra を一旦リセット)。本 Issue では infra デプロイを dispatch version+environment モデルで(再)実装する。