Terraform AWS EKS模块中自定义节点IAM角色的配置方法

在使用Terraform AWS EKS模块创建Kubernetes集群时，节点IAM角色的管理是一个关键配置项。本文将详细介绍如何在EKS集群中使用预先存在的IAM角色作为节点角色，而不是每次都创建新角色。

背景知识

AWS EKS集群中的工作节点需要特定的IAM权限才能正常运作，这些权限通常包括与EC2、EKS服务交互以及访问ECR镜像仓库等。默认情况下，terraform-aws-eks模块会自动创建这些IAM角色和策略。

为什么需要自定义节点角色

在实际生产环境中，企业通常会有以下需求：

1. 使用已经存在的统一IAM角色，符合公司安全规范
2. 避免为每个集群重复创建相同权限的角色
3. 需要为节点角色添加额外的自定义策略

配置方法

要使用已有IAM角色作为EKS节点角色，需要进行以下配置：

module "eks" {
  source = "terraform-aws-modules/eks/aws"
  
  # 禁用自动创建节点IAM角色
  create_node_iam_role = false
  
  # 指定已有节点角色的ARN
  cluster_compute_config = {
    node_role_arn = "arn:aws:iam::123456789012:role/my-existing-eks-node-role"
  }
}

注意事项

1. 确保指定的IAM角色具有EKS节点所需的基本权限，包括但不限于：

   • AmazonEKSWorkerNodePolicy
   • AmazonEC2ContainerRegistryReadOnly
   • AmazonEKS_CNI_Policy

2. 如果使用自定义CNI插件或需要访问其他AWS服务，可能需要附加额外策略

3. 建议在部署前验证IAM角色的权限是否足够

4. 角色的信任关系需要允许EC2服务担任该角色

最佳实践

1. 在企业环境中，建议预先创建标准化的EKS节点角色模板

2. 使用IAM条件限制来增强安全性

3. 定期审计节点角色的使用情况和权限

4. 考虑使用权限边界来限制节点角色的最大权限范围

通过这种方式，可以实现更灵活、更符合企业规范的EKS集群IAM管理，同时保持基础设施即代码的自动化优势。