Terraform AWS EKS模块中aws-auth配置的权限问题解析

背景介绍

在使用Terraform管理AWS EKS集群时，aws-auth ConfigMap是控制Kubernetes集群访问权限的核心组件。随着terraform-aws-modules/eks/aws模块从19.x升级到20.x版本，aws-auth的管理方式发生了重大变化，这导致了许多用户在迁移过程中遇到权限问题。

问题现象

在模块版本20.14.0和20.15.0中，当尝试通过aws-auth子模块管理集群访问权限时，Terraform会返回"Unauthorized"错误。具体表现为：

1. 能够成功创建和销毁EKS集群
2. 但无法修改aws-auth ConfigMap
3. 错误信息显示验证ConfigMap存在性时出现权限不足

技术分析

旧版本(19.x)的工作机制

在19.x版本中，aws-auth配置是直接嵌入在EKS主模块中的，模块会自动处理以下事项：

1. 自动将集群创建者添加到aws-auth ConfigMap
2. 通过AWS IAM角色提供必要的权限
3. 简化了权限管理流程

新版本(20.x)的变化

20.x版本引入了重大架构调整：

1. 将aws-auth功能拆分为独立子模块
2. 默认不再自动添加集群创建者到ConfigMap
3. 推荐使用新的IAM访问条目(Access Entries)机制

根本原因

出现"Unauthorized"错误的核心原因是：

1. 新版本中执行Terraform操作的身份未被自动授予集群管理权限
2. Kubernetes API Server拒绝了修改aws-auth ConfigMap的请求
3. 权限验证机制变得更加严格

解决方案

推荐方案：使用IAM访问条目

AWS推荐的新方法是使用EKS的Access Entries功能：

module "eks" {
  source = "terraform-aws-modules/eks/aws"
  
  enable_cluster_creator_admin_permissions = true
  
  access_entries = {
    # 添加额外的访问条目
    example = {
      principal_arn = "arn:aws:iam::123456789012:role/example-role"
      
      policy_associations = {
        example = {
          policy_arn = "arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy"
          access_scope = {
            type = "cluster"
          }
        }
      }
    }
  }
}

关键配置说明

1. enable_cluster_creator_admin_permissions：显式启用集群创建者的管理员权限
2. access_entries：定义精细化的访问控制策略
3. policy_associations：关联预定义或自定义的访问策略

迁移建议

从旧版本迁移时应注意：

1. 逐步替换aws-auth配置为Access Entries
2. 测试每个权限变更的影响
3. 保留旧配置直到新机制完全验证
4. 监控审计日志确保权限按预期工作

技术优势

新方法相比传统aws-auth ConfigMap具有以下优势：

1. 更细粒度的权限控制
2. 更好的AWS控制台集成
3. 更直观的权限管理界面
4. 与AWS IAM更紧密的集成
5. 支持更多高级权限场景

总结

Terraform AWS EKS模块20.x版本的权限管理机制代表了EKS权限管理的发展方向。虽然迁移过程可能需要调整现有配置，但新方法提供了更强大、更灵活的权限管理能力。建议用户尽快采用新的Access Entries机制，以获得更好的管理体验和更安全的访问控制。