Terraform AWS EKS模块中访问权限管理的实践指南

前言

在使用Terraform AWS EKS模块进行Kubernetes集群管理时，访问权限控制是一个关键的安全考量。本文将深入探讨EKS访问入口(Access Entry)的配置实践，帮助用户理解如何正确管理集群访问权限。

EKS访问入口机制解析

AWS EKS的访问入口机制是AWS提供的一种新的集群访问控制方式，它比传统的aws-auth ConfigMap提供了更精细的访问控制能力。当启用访问入口功能时，EKS会自动为以下实体创建访问入口：

1. EKS托管节点组使用的角色
2. EKS Fargate配置文件使用的角色
3. 创建集群时使用的角色

这一自动创建机制在便利的同时也带来了一些需要注意的行为特性。

常见配置场景分析

场景一：集群创建者权限管理

在Terraform AWS EKS模块中，enable_cluster_creator_admin_permissions参数控制是否为集群创建者自动分配管理员权限。但需要注意：

• 该参数仅在集群创建时生效
• 如果已有相同角色的访问入口存在，则不能启用此参数
• 执行Terraform操作的身份决定了访问入口中的主体ARN

场景二：多身份操作管理

当多个不同身份(如个人用户和CI/CD角色)需要操作同一个EKS集群时，会出现访问入口变更的问题。这是因为：

1. 每次执行Terraform操作的身份会被记录为"集群创建者"
2. 不同身份执行操作会导致访问入口中的主体ARN不断变化
3. 这种变化会触发资源的重新创建

最佳实践建议

方案一：统一操作身份

推荐使用单一身份执行所有Terraform操作，这样可以避免访问入口的频繁变更。具体做法包括：

• 为CI/CD管道创建专用IAM角色
• 所有操作都通过该角色执行
• 个人开发者也使用相同角色进行测试

方案二：显式声明访问入口

如果必须使用多个身份操作集群，建议：

1. 禁用自动创建者权限分配

enable_cluster_creator_admin_permissions = false

2. 显式声明所有需要的访问入口

access_entries = {
  user1 = {
    principal_arn = "arn:aws:iam::123456789012:user/user1"
    # 其他配置...
  }
  pipeline = {
    principal_arn = "arn:aws:iam::123456789012:role/pipeline-role"
    # 其他配置...
  }
}

迁移注意事项

从旧版本模块升级到v20.x时，需要注意：

1. 首次应用变更前可能需要手动删除现有的自动创建的访问入口
2. 升级后检查所有访问权限是否按预期工作
3. 考虑逐步迁移，先测试再应用到生产环境

总结

合理配置EKS访问入口对于集群安全至关重要。通过理解访问入口的工作原理和Terraform模块的行为特性，可以设计出既安全又易于管理的访问控制方案。关键是要根据实际使用场景选择统一操作身份或显式声明访问入口的策略，确保集群访问权限的稳定性和安全性。