Terraform AWS EKS 模块：解决访问策略关联中的 PrincipalArn 未找到问题

问题背景

在使用 Terraform 的 AWS EKS 模块时，许多开发者在尝试通过 aws_eks_access_policy_association 资源为 EKS 集群配置访问策略时，可能会遇到 "PrincipalArn Not Found" 的错误提示。这个错误表明系统无法识别所提供的 IAM 角色 ARN，导致策略关联失败。

错误现象

典型的错误信息如下：

Error: creating EKS Access Policy Association: operation error EKS: AssociateAccessPolicy, https response error StatusCode: 404, ResourceNotFoundException: The specified principalArn could not be found.

根本原因分析

经过深入分析，出现此问题的主要原因是开发者直接尝试关联访问策略，而忽略了必须先创建访问条目（Access Entry）这一关键步骤。AWS EKS 的访问控制机制分为两个阶段：

1. 访问条目创建：首先需要在 EKS 集群中注册 IAM 主体（用户或角色）
2. 策略关联：然后才能为该主体关联具体的访问策略

解决方案

完整配置示例

# 第一步：创建访问条目
resource "aws_eks_access_entry" "example" {
  cluster_name  = "your-eks-cluster"
  principal_arn = "arn:aws:iam::123456789012:role/your-iam-role"
}

# 第二步：关联访问策略
resource "aws_eks_access_policy_association" "example" {
  cluster_name  = aws_eks_access_entry.example.cluster_name
  principal_arn = aws_eks_access_entry.example.principal_arn
  policy_arn    = "arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy"

  access_scope {
    type = "cluster"
  }
}

关键注意事项

1. ARN 格式验证：确保提供的 IAM 角色 ARN 是完整的，包括所有路径信息。对于通过 AWS SSO 创建的角色，ARN 可能包含额外的路径组件。

2. 权限检查：执行 Terraform 操作的身份必须同时具备：

   • 创建访问条目的权限
   • 关联访问策略的权限

3. 操作顺序：必须严格按照先创建访问条目，再关联策略的顺序执行。

排查技巧

1. 检查现有访问条目：

   aws eks list-access-entries --cluster-name your-cluster-name
   

2. 验证 IAM 角色存在：

   aws iam get-role --role-name your-role-name
   

3. 检查 EKS 集群状态：

   aws eks describe-cluster --name your-cluster-name
   

最佳实践建议

1. 模块化设计：将访问条目和策略关联逻辑封装为可重用的 Terraform 模块。

2. 状态验证：在关联策略前，添加显式的依赖关系确保访问条目已成功创建。

3. 最小权限原则：仅授予必要的访问权限，避免使用过于宽松的管理员策略。

4. 环境隔离：为不同环境（开发、测试、生产）配置不同的访问策略。

通过理解 AWS EKS 的访问控制机制并遵循正确的配置流程，开发者可以有效地解决 PrincipalArn 未找到的问题，确保集群访问策略的正确配置。