Terraform AWS EKS模块中访问条目创建的常见问题与解决方案

前言

在使用Terraform AWS EKS模块进行Kubernetes集群管理时，从旧版本迁移到20.x版本过程中，许多用户遇到了访问条目(Access Entry)创建的相关问题。本文将深入分析这些问题的根源，并提供切实可行的解决方案。

问题现象分析

在从19.20版本迁移到20.5.0及以上版本时，用户通常会遇到两类典型问题：

1. 访问条目已存在错误：当尝试创建已经存在的访问条目时，系统会返回"ResourceInUseException: The specified access entry resource is already in use on this cluster"错误，导致Terraform执行失败。

2. 策略关联失败：访问条目虽然创建成功，但指定的访问策略(如AmazonEKSClusterAdminPolicy)未能正确关联到该条目。

问题根源探究

访问条目已存在问题

这种情况通常发生在以下场景中：

• 集群创建者角色自动映射：当启用enable_cluster_creator_admin_permissions参数时，EKS会自动为集群创建者创建访问条目。如果用户再尝试通过Terraform创建相同的条目，就会产生冲突。

• 节点组角色自动创建：EKS会自动为托管节点组和Fargate配置文件使用的角色创建访问条目，用户不应重复创建这些条目。

策略关联失败问题

策略关联失败通常与以下因素有关：

• 访问条目和策略关联的Terraform资源配置顺序问题
• 策略ARN格式不正确或权限不足
• 访问范围(access_scope)配置不当

解决方案与实践建议

迁移现有集群的最佳实践

1. 处理集群创建者访问条目：

   • 如果使用与创建集群相同的角色，应设置enable_cluster_creator_admin_permissions = false
   • 或者通过Terraform导入现有条目：

     terraform import 'module.eks.aws_eks_access_entry.this["cluster_creator"]' 集群名称:主体ARN
     

2. 节点组角色处理：

   • 不要尝试为EKS自动管理的节点组角色创建访问条目
   • 在使用Karpenter等模块时，设置create_access_entry = false

自定义IAM角色的访问条目创建

对于用户自定义的IAM角色，推荐以下两种方法：

1. 通过独立资源创建： 使用aws_eks_access_entry和aws_eks_access_policy_association资源单独管理，而非通过EKS模块的access_entries参数。

2. 正确配置模块参数： 如果坚持使用模块参数，确保配置格式正确：

   access_entries = {
     custom_role = {
       principal_arn = aws_iam_role.custom_role.arn
       policy_associations = {
         admin = {
           policy_arn = "arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy"
           access_scope = {
             type = "cluster"
           }
         }
       }
     }
   }
   

策略关联验证方法

创建完成后，可通过AWS CLI验证策略是否成功关联：

aws eks list-associated-access-policies \
  --cluster-name 集群名称 \
  --principal-arn "角色ARN" \
  --region 区域

总结

从aws-auth ConfigMap迁移到访问条目是EKS权限管理的重要改进，但在迁移过程中需要特别注意：

1. 识别并避免重复创建EKS自动管理的访问条目
2. 对于自定义角色，选择适合的创建方式（模块参数或独立资源）
3. 创建后务必验证策略关联状态
4. 合理使用导入功能管理现有资源

通过遵循这些实践，可以顺利完成EKS访问管理的现代化迁移，构建更安全、更易维护的Kubernetes权限体系。