Terraform AWS EKS模块中system:masters权限配置的演进与实践

背景介绍

随着AWS EKS服务的不断演进，集群访问管理机制也在持续优化。最新版本的terraform-aws-eks模块（20.2.0）引入了access_entries配置方式，这标志着从传统的configmap/aws-auth管理方式向更现代化的访问控制机制过渡。

传统权限配置方式

在早期版本的EKS集群中，我们通常通过配置aws-auth ConfigMap来管理RBAC权限。典型配置示例如下：

manage_aws_auth_configmap = true
aws_auth_roles = [
  {
    rolearn  = "arn:aws:iam::ACCOUNT_ID:role/role-name"
    username = "devopsadmin"
    groups   = ["system:masters"]
  }
]

这种方式直接将IAM角色映射到Kubernetes的system:masters组，该组拥有集群管理员权限。这种配置简单直接，但存在一些安全和管理上的局限性。

新版本权限管理机制

AWS引入了更精细化的访问控制机制——Access Entries。这种新机制提供了更强大的功能，但也带来了一些配置上的变化：

1. 不再支持system:前缀的组：新机制明确禁止使用system:masters这样的系统组名
2. 策略式权限管理：改为使用预定义的EKS集群访问策略
3. 更细粒度的控制：可以精确控制每个访问实体的权限范围

新机制下的正确配置方式

在新版本中，要实现管理员权限，应该使用AmazonEKSClusterAdminPolicy策略：

access_entries = {
  devops = {
    type          = "STANDARD"
    user_name     = "devopsadmin"
    principal_arn = "arn:aws:iam::ACCOUNT_ID:role/role-name"
    policy_arn    = "arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy"
  }
}

这种配置方式相比旧方案有几个优势：

• 更符合最小权限原则
• 权限管理更加透明
• 与AWS控制台体验保持一致
• 支持更丰富的权限组合

迁移注意事项

对于从旧版本升级的用户，需要注意：

1. 权限模型已改变，需要重新设计访问控制策略
2. system:masters等系统组不再支持，需要寻找替代方案
3. 建议在测试环境验证新配置后再在生产环境实施
4. 新旧机制可以并行运行一段时间，但长期来看应完全迁移到新机制

最佳实践建议

1. 避免使用系统组：即使是管理员权限，也应使用自定义角色和绑定
2. 利用策略组合：AWS提供了多种预定义策略，可根据需要组合使用
3. 逐步迁移：大型集群应分阶段迁移，确保业务连续性
4. 权限审计：定期审查访问条目，确保符合安全要求

总结

AWS EKS的权限管理正在向更现代化、更安全的方向发展。terraform-aws-eks模块的20.2.0版本引入的access_entries配置代表了这一趋势。虽然迁移过程可能需要一些调整，但新的机制提供了更好的安全性、可管理性和灵活性。作为基础设施工程师，理解这些变化并适时调整部署策略，将有助于构建更安全、更可靠的Kubernetes环境。