Terraform AWS EKS模块中共享IAM角色导致访问条目冲突问题分析

问题背景

在使用Terraform AWS EKS模块管理自管理节点组时，一个常见但容易被忽视的问题是多个节点组共享同一个IAM角色可能导致的访问条目(Access Entry)冲突。这种情况通常发生在从旧版本模块升级到新版本时，特别是在v18.x之后的版本中引入了对EKS访问条目的自动管理功能。

技术原理

EKS访问条目是AWS EKS服务中的一种资源，用于控制哪些IAM主体(如IAM角色)可以访问Kubernetes集群。当自管理节点组使用某个IAM角色时，模块会自动为该角色创建对应的访问条目。如果多个节点组配置为使用同一个IAM角色，Terraform会尝试为同一个角色创建多个访问条目，这显然会导致冲突，因为AWS EKS不允许为同一个主体创建重复的访问条目。

典型错误表现

在实际操作中，当尝试应用这样的配置时，会遇到类似以下的错误信息：

StatusCode: 409, RequestID: xxxxx, ResourceInUseException: The specified access entry resource is already in use on this cluster.

这个错误明确指出了问题所在：指定的访问条目资源已经在集群中使用。

解决方案

方案一：禁用自动创建访问条目

在自管理节点组配置中，可以通过设置create_access_entry = false来禁用自动创建访问条目功能。这样，模块将不会尝试为节点组的IAM角色创建访问条目。

self_managed_node_group_defaults = {
  create_access_entry = false
  # 其他配置...
}

方案二：集中管理访问条目

更好的做法是在EKS模块的主配置中统一管理访问条目，而不是让每个节点组各自创建：

access_entries = {  
  node-role = {  
    principal_arn     = "arn:aws:iam::xxx:role/eks-test"  
    type              = "EC2_LINUX"  
  }  
}

方案三：为每个节点组使用独立IAM角色

最佳实践是为每个节点组配置独立的IAM角色，这样可以避免访问条目冲突，同时也能实现更细粒度的权限控制：

self_managed_node_groups = {
  "workload" = {
    # 使用独立的IAM角色
    iam_role_arn = "arn:aws:iam::xxx:role/eks-workload"
    # 其他配置...
  }

  "test-workload" = {
    # 使用另一个独立的IAM角色
    iam_role_arn = "arn:aws:iam::xxx:role/eks-test-workload"
    # 其他配置...
  }
}

实施建议

1. 评估当前架构：检查现有配置中是否有共享IAM角色的情况
2. 逐步迁移：如果必须共享角色，先采用方案一临时解决问题
3. 长期规划：按照方案三重构配置，为每个节点组分配独立角色
4. 测试验证：在非生产环境充分测试变更，确保节点能够正常加入集群

总结

在Terraform AWS EKS模块的使用中，IAM角色的管理策略直接影响着访问条目的创建。通过理解EKS访问条目的工作机制，我们可以避免常见的配置冲突问题。遵循最小权限原则，为每个节点组分配独立角色不仅能够解决当前问题，还能提升集群的安全性。在升级模块版本时，特别需要注意这些向后兼容性变化，提前规划好架构调整方案。