Terraform AWS EKS模块中Karpenter在中国区的IAM权限问题解析

背景介绍

在使用Terraform AWS EKS模块部署Karpenter时，特别是在AWS中国区域(如cn-northwest-1)会遇到一个典型的IAM权限问题。当尝试通过Karpenter创建新的EC2节点时，系统会报错提示"UnauthorizedOperation"，指出Karpenter控制器角色没有权限执行iam:PassRole操作。

问题现象

部署过程中，Karpenter日志会显示如下错误信息：

launching nodeclaim, creating instance, with fleet error(s), UnauthorizedOperation: You are not authorized to perform this operation. User: arn:aws-cn:sts::xxxxx:assumed-role/xxxx-karpenter-controller-role/xxxxx is not authorized to perform: iam:PassRole on resource: arn:aws-cn:iam::xxxx:role/xxxxx-karpenter-node-role because no identity-based policy allows the iam:PassRole action.

根本原因分析

这个问题源于AWS中国区与国际区在服务端点的差异。在Terraform AWS EKS模块的Karpenter子模块中，IAM策略硬编码了国际区的服务端点"ec2.amazonaws.com"，而中国区需要使用"ec2.amazonaws.com.cn"。

具体来说，当Karpenter控制器尝试将节点角色传递给EC2服务时，由于策略中指定的服务主体不正确，导致IAM权限验证失败。这是AWS中国区与国际区架构差异带来的典型兼容性问题。

解决方案

解决此问题需要修改Karpenter控制器角色的IAM策略，将"ec2.amazonaws.com"替换为"ec2.amazonaws.com.cn"。具体操作如下：

1. 定位到Terraform代码中Karpenter模块的IAM策略定义部分
2. 修改所有涉及"ec2.amazonaws.com"的服务主体引用
3. 确保策略中的条件块也相应更新

修改后的策略应该允许Karpenter控制器角色将节点角色传递给中国区的EC2服务。

最佳实践建议

1. 区域感知配置：在使用Terraform部署时，建议根据目标区域自动选择正确的服务端点，可以通过变量或条件判断实现。

2. 模块维护：建议向Terraform AWS EKS模块提交PR，增加对中国区的支持，使模块能够自动适应不同区域的服务端点。

3. 权限最小化：即使修复此问题，也应遵循最小权限原则，仅授予Karpenter所需的最低权限。

4. 测试验证：在中国区部署前，建议先在测试环境验证所有IAM策略的有效性。

总结

AWS中国区与国际区在服务架构上的差异会导致一些兼容性问题，特别是在IAM权限配置方面。开发者和运维人员在跨区域部署时需要注意这些细节差异。通过理解服务主体和IAM权限的运作机制，可以快速定位和解决这类问题，确保Karpenter等自动化工具在不同AWS区域都能正常工作。