Terraform AWS EKS 模块中 Karpenter 与 KMS 加密的最佳实践

背景介绍

在使用 Terraform AWS EKS 模块部署 Kubernetes 集群时，Karpenter 作为自动节点伸缩工具被广泛采用。然而，当 AWS 账户默认启用 EBS 卷加密时，Karpenter 节点创建可能会遇到权限问题导致节点立即终止。

核心问题分析

在 AWS 环境中，当账户级别强制要求 EBS 卷加密时，Karpenter 创建的节点需要具备相应的 KMS 密钥使用权限。常见问题场景包括：

1. 尝试复用 EKS 集群的 KMS 密钥（用于加密 Kubernetes secrets）来加密 EBS 卷时，由于默认策略不包含必要的 EBS 加密权限，导致节点创建失败
2. 账户级别的默认 EBS 加密设置会覆盖 Karpenter 配置中指定的 KMS 密钥
3. AMI 镜像使用的 KMS 密钥与节点创建时指定的密钥不一致，导致重新加密失败

解决方案

方案一：扩展 EKS 集群 KMS 密钥策略

如果决定复用 EKS 集群的 KMS 密钥，需要通过 kms_key_source_policy_documents 参数扩展密钥策略，添加 EBS 加密所需权限。关键点包括：

1. 确保策略包含 Karpenter 节点角色使用密钥的权限
2. 策略中需要明确指定 Principal（与 IAM 策略不同）
3. 避免策略在后续 Terraform 执行中被覆盖

方案二：创建专用 KMS 密钥

更推荐的方案是为 Karpenter 创建专用 KMS 密钥：

resource "aws_kms_key" "karpenter_kms" {
  description = "Karpenter EBS encryption key"
  policy      = data.aws_iam_policy_document.karpenter_kms_policy.json
}

resource "aws_kms_alias" "karpenter_kms" {
  name          = "alias/karpenter-ebs-key"
  target_key_id = aws_kms_key.karpenter_kms.key_id
}

然后在 EC2NodeClass 中明确指定该密钥：

blockDeviceMappings:
  - deviceName: /dev/xvda
    ebs:
      encrypted: true
      kmsKeyID: ${aws_kms_key.karpenter_kms.key_id}

关键注意事项

1. 账户级默认加密：检查账户是否启用了默认 EBS 加密，这可能会覆盖 Karpenter 配置
2. AMI 加密密钥：确保 AMI 使用的 KMS 密钥与节点创建密钥一致，或确保 Karpenter 角色有权限使用 AMI 的加密密钥
3. 策略权限：Karpenter 节点角色需要以下 KMS 权限：
   • kms:Encrypt
   • kms:Decrypt
   • kms:ReEncrypt*
   • kms:CreateGrant
   • kms:DescribeKey

最佳实践建议

1. 为 Karpenter 创建专用 KMS 密钥，与 EKS 集群密钥分离
2. 明确禁用账户级默认 EBS 加密，或在 Karpenter 配置中强制指定密钥
3. 定期审计 KMS 密钥策略，确保没有权限冲突
4. 在测试环境验证节点创建流程，检查 CloudTrail 日志确认使用的密钥

通过以上方案，可以确保 Karpenter 在强制加密环境中稳定运行，同时满足安全合规要求。