Terraform AWS EKS模块中解决kubectl访问权限问题

问题背景

在使用Terraform AWS EKS模块部署Kubernetes集群时，用户经常会遇到kubectl命令无法执行的问题，表现为"forbidden"错误。这种情况通常发生在使用特定IAM角色(如terraform角色)访问集群时，系统提示没有足够的权限来列出或管理pod等资源。

错误现象

当用户尝试执行kubectl get pods -A命令时，会收到如下错误信息：

Error from server (Forbidden): pods is forbidden: User "arn:aws:sts::123456:assumed-role/terraform/botocore-session-123456" cannot list resource "pods" in API group "" at the cluster scope

根本原因

这个问题的核心在于EKS集群的RBAC(Role-Based Access Control)配置。默认情况下，AWS EKS不会自动为创建集群的IAM实体(用户或角色)授予集群管理员权限。这与直接通过AWS控制台创建EKS集群时的行为不同，控制台创建时会自动为创建者授予管理员权限。

解决方案

在Terraform AWS EKS模块中，可以通过设置enable_cluster_creator_admin_permissions参数为true来解决这个问题。这个参数的作用是：

1. 自动为创建集群的IAM实体(在本例中是terraform角色)授予EKS集群的管理员权限
2. 在集群的aws-auth ConfigMap中添加相应的映射规则
3. 允许该IAM实体通过kubectl执行所有集群操作

配置示例

在EKS模块的Terraform配置中添加以下参数：

module "eks" {
  source  = "terraform-aws-modules/eks/aws"
  version = "20.8.4"
  
  enable_cluster_creator_admin_permissions = true
  
  # 其他配置...
}

深入理解

EKS访问控制机制

AWS EKS使用两种机制来控制访问：

1. IAM策略：控制谁可以调用EKS API(如创建/删除集群)
2. Kubernetes RBAC：控制谁可以在集群内执行操作(如创建pod)

enable_cluster_creator_admin_permissions参数主要处理的是第二种机制，确保创建者有足够的RBAC权限。

替代方案

除了使用这个参数外，还可以：

1. 手动编辑aws-auth ConfigMap添加IAM角色映射
2. 创建专门的Kubernetes ServiceAccount并绑定ClusterRole
3. 使用eksctl工具管理访问权限

但对于Terraform自动化部署场景，使用模块参数是最简洁和可维护的方案。

最佳实践

1. 在生产环境中，建议使用更精细的权限控制，而不是直接授予管理员权限
2. 可以结合使用cluster_access_entries参数为特定IAM实体配置精确的访问权限
3. 定期审计EKS集群的访问权限，确保符合最小权限原则

总结

通过理解EKS的权限模型和正确配置Terraform模块参数，可以轻松解决kubectl访问被拒绝的问题。enable_cluster_creator_admin_permissions参数提供了一种简单直接的方式来确保集群创建者拥有必要的管理权限，特别适合在自动化部署流程中使用。