Terraform AWS EKS模块中控制台访问权限的配置解析

背景介绍

在使用terraform-aws-eks模块部署Amazon EKS集群时，很多用户会遇到一个常见问题：虽然集群创建成功，但在AWS管理控制台中查看EKS集群时，却显示"没有权限查看Kubernetes对象"的提示信息。这种现象在模块版本升级后尤为明显，特别是在从v19.x升级到v20.x版本时。

问题本质

这个现象并非bug，而是AWS EKS权限模型的预期行为变化。在早期版本(v19.x)中，EKS集群创建者的IAM身份会自动获得集群管理员权限。但从v20.x版本开始，随着AWS引入了更精细的访问控制机制，这种自动授权行为被移除了。

技术原理

AWS EKS现在提供了两种主要的访问控制方式：

1. 传统方式：通过kubeconfig文件中的IAM角色或用户进行认证
2. 访问条目(Access Entry)：EKS新增的授权机制，可以更精细地控制对集群的访问

在v20.x版本中，terraform-aws-eks模块默认不会自动为创建者配置访问权限，这是为了遵循最小权限原则，让用户显式地定义谁可以访问集群。

解决方案

要为IAM身份(通常是集群创建者)添加控制台访问权限，可以通过以下方式实现：

1. 手动配置：在AWS控制台的EKS服务中，找到对应集群的"访问"选项卡，添加新的访问条目，指定IAM ARN并关联适当的策略(如AmazonEKSViewPolicy)

2. 通过Terraform自动化：在模块配置中添加访问条目定义，例如：

module "eks" {
  # ...其他配置...

  access_entries = {
    admin = {
      principal_arn = "arn:aws:iam::ACCOUNT_ID:root"  # 或特定IAM实体ARN
      policy_associations = {
        view = {
          policy_arn = "arn:aws:eks::aws:cluster-access-policy/AmazonEKSViewPolicy"
          access_scope = {
            type = "cluster"
          }
        }
      }
    }
  }
}

版本兼容性说明

• v19.x及更早版本：自动为创建者授权
• v20.x及更新版本：需要显式配置访问权限

这种变化反映了AWS安全最佳实践的演进，虽然增加了初始配置的复杂度，但提供了更安全的默认配置和更灵活的权限管理能力。

最佳实践建议

1. 生产环境中应该避免使用root账户，而是为特定用户或角色配置访问权限
2. 根据最小权限原则，只授予必要的权限级别(如View、Edit、Admin等)
3. 考虑将访问条目配置纳入基础设施即代码管理，而不是手动操作
4. 对于团队协作环境，可以使用IAM组或角色来集中管理访问权限

通过理解这些访问控制机制的变化和配置方法，用户可以更安全、更灵活地管理EKS集群的访问权限。