AWS ACK EKS控制器IAM策略优化指南

背景介绍

AWS Controllers for Kubernetes (ACK) 项目中的EKS控制器是管理Amazon EKS集群的重要组件。在使用过程中，我们发现控制器默认的IAM策略存在一些权限不足的问题，特别是在创建节点组(Nodegroup)时会出现权限错误。

问题分析

当用户尝试通过ACK EKS控制器创建EKS节点组时，会遇到两类典型的IAM权限错误：

1. IAM权限不足：控制器缺乏iam:ListAttachedRolePolicies权限，无法检查节点角色(NodeRole)上附加的策略
2. EC2权限不足：控制器缺乏ec2:DescribeSubnets权限，无法查询指定的子网信息

这些权限缺失会导致节点组创建失败，影响集群的自动扩缩容能力。

解决方案

经过社区讨论和验证，我们确定了需要为ACK EKS控制器添加以下关键IAM权限：

1. IAM服务权限：

   • iam:ListAttachedRolePolicies：允许控制器检查节点角色上附加的IAM策略

2. EC2服务权限：

   • ec2:DescribeSubnets：允许控制器查询VPC子网信息

这些权限对于节点组的正常创建和运行至关重要。控制器需要检查节点角色的权限配置，并验证子网是否可用于部署工作节点。

最佳实践建议

在使用ACK EKS控制器时，建议遵循以下IAM策略配置原则：

1. 最小权限原则：只授予控制器执行其功能所需的最小权限集
2. 定期审计：定期检查控制器的操作日志，确认是否有新的权限需求
3. 分离职责：为不同的控制器功能使用不同的IAM角色
4. 测试验证：在正式环境部署前，先在测试环境验证权限配置

总结

通过优化ACK EKS控制器的IAM策略，我们解决了节点组创建过程中的权限问题。这一改进使得用户能够更顺畅地使用ACK管理EKS集群，同时也遵循了AWS的安全最佳实践。对于使用ACK EKS控制器的用户，建议及时更新控制器的IAM策略以包含这些必要的权限。