AWS Load Balancer Controller在EKS 1.29集群中的权限问题解析

问题背景

在使用Terraform部署AWS EKS 1.29集群时，用户发现AWS Load Balancer Controller无法正常工作。具体表现为当尝试创建Application Load Balancer时，控制器会收到"AccessDenied"错误，提示没有执行elasticloadbalancing:AddTags操作的权限。

错误现象

控制器日志显示如下关键错误信息：

User: arn:aws:sts::XXXXX:assumed-role/aws-load-balancer-controller/1710119424124753004 
is not authorized to perform: elasticloadbalancing:AddTags on resource: 
arn:aws:elasticloadbalancing:us-east-2:002483744614:targetgroup/k8s-istiosys-istioing-445b612369/*

根本原因

这个问题源于AWS Elastic Load Balancing服务团队在去年对后端API做出的变更。具体来说：

1. ELB团队修改了Create*** API的内部实现
2. 这一变更导致需要额外的IAM权限才能完成相关操作
3. AWS Load Balancer Controller项目已经更新了示例IAM策略以适配这一变更

解决方案

要解决这个问题，需要更新IAM策略，确保包含以下关键权限：

1. 对目标组的AddTags权限
2. 对负载均衡器的AddTags权限
3. 对监听器和监听规则的AddTags权限

具体来说，IAM策略中需要包含类似如下的权限声明：

{
  "Action": [
    "elasticloadbalancing:AddTags"
  ],
  "Effect": "Allow",
  "Resource": [
    "arn:aws:elasticloadbalancing:*:*:targetgroup/*/*",
    "arn:aws:elasticloadbalancing:*:*:loadbalancer/net/*/*",
    "arn:aws:elasticloadbalancing:*:*:loadbalancer/app/*/*"
  ]
}

最佳实践建议

1. 定期检查IAM策略：随着AWS服务的更新，所需的权限可能会发生变化，建议定期检查并更新IAM策略。

2. 使用最新示例策略：AWS Load Balancer Controller项目维护了最新的示例IAM策略文件，部署时应参考最新版本。

3. 最小权限原则：在授予权限时，应遵循最小权限原则，只授予必要的权限。

4. 测试环境验证：在将变更应用到生产环境前，先在测试环境中验证新策略的有效性。

总结

AWS服务会不断演进和更新，这可能导致原有的IAM策略不再适用。遇到类似权限问题时，开发者应该：

1. 检查错误信息中的具体权限缺失
2. 参考项目官方文档中的最新IAM策略示例
3. 理解AWS服务变更对权限需求的影响
4. 谨慎地更新IAM策略以解决问题

通过这种方式，可以确保AWS Load Balancer Controller在EKS集群中持续稳定地工作，为应用程序提供可靠的负载均衡服务。