Terragrunt在AWS会话令牌过期时的自动续期问题分析

问题背景

在使用Terragrunt进行AWS RDS集群跨区域迁移时，我们发现了一个关键问题：当任务执行时间超过1小时（AWS会话令牌的默认有效期）时，令牌会过期，导致terraform状态文件无法更新到S3存储桶中。这种情况特别容易出现在Kubernetes环境中使用IRSA（IAM Roles for Service Accounts）进行AWS资源访问的场景。

技术细节解析

AWS会话令牌的有效期限制

在AWS环境中，当使用临时凭证（如通过IRSA获取的令牌）进行角色链式调用时，AWS强制实施了1小时的最大会话持续时间限制。这与直接使用IAM角色的情况不同，后者可以配置更长的会话持续时间（最长12小时）。

Terragrunt的工作机制

Terragrunt在调用Terraform/OpenTofu时会进行一次性的角色假设，然后将控制权完全交给Terraform进程。这意味着：

1. 初始阶段：Terragrunt获取临时凭证并启动Terraform进程
2. 执行阶段：Terraform完全控制操作流程
3. 状态更新：Terraform尝试将状态写回S3后端

如果在Terraform执行过程中令牌过期（特别是长时间运行的操作如RDS迁移），Terraform将无法更新状态文件，因为此时它无法重新获取有效凭证。

解决方案探讨

方案一：调整角色会话持续时间

对于直接使用IAM角色的场景，可以通过修改角色设置延长会话持续时间：

1. 修改IAM角色的最大会话持续时间设置（最长12小时）
2. 在AssumeRole调用时指定更长的DurationSeconds参数

但此方案不适用于IRSA场景，因为AWS对OIDC令牌派生的临时凭证强制实施了1小时限制。

方案二：使用auth-provider-cmd机制

Terragrunt提供了auth-provider-cmd配置选项，允许通过外部脚本动态获取凭证：

1. 创建一个脚本从Kubernetes pod中提取Web Identity Token
2. 配置Terragrunt使用该脚本获取角色凭证
3. 返回包含roleARN、sessionName和webIdentityToken的JSON结构

此方案虽然能实现动态凭证获取，但无法解决Terraform执行过程中令牌过期的问题。

方案三：优化Terraform执行时间

对于必须长时间运行的操作，可考虑：

1. 将大型变更分解为多个小型变更
2. 使用并行执行加速操作
3. 优化资源配置减少变更时间

方案四：使用credential_process机制

在Kubernetes pod中配置AWS_PROFILE环境变量，指向包含credential_process的AWS配置：

1. 创建~/.aws/config文件定义profile
2. 指定一个能够动态获取凭证的脚本路径
3. 通过环境变量使Terraform使用该profile

此方法需要确保Terraform能够正确处理credential_process的输出。

最佳实践建议

1. 对于短时间操作（<1小时）：使用标准的IRSA+Terragrunt角色假设

2. 对于长时间操作：

   • 优先考虑操作分解
   • 必要时使用静态凭证（妥善保管和轮换）
   • 实现自定义凭证刷新机制

3. 监控与告警：

   • 实施操作超时监控
   • 配置令牌过期预警
   • 建立状态文件更新失败的处理流程

总结

Terragrunt在AWS会话管理方面提供了多种灵活的配置选项，但在IRSA和角色链式调用场景下，由于AWS的安全限制，开发者需要特别注意长时间运行操作可能带来的令牌过期问题。理解Terragrunt和Terraform在凭证管理上的职责边界，选择适合业务场景的解决方案，是确保基础设施变更成功执行的关键。