默认情况下,AWS EKS 上的任何 kubernetes pod 都可以承担底层节点的 IAM 角色。这意味着所有容器 immediately get access 都适用于 AmazonEKSWorkerNodePolicy 和 AmazonEC2ContainerRegistryReadOnly 等策略,我想避免这种情况。
我不想从所有使用 iptables 的容器中完全阻止 AWS API,因为如果有正确的凭据,应该可以调用它。
使用 IAM roles for service accounts,可以将某个 IAM 角色与 Pod 的服务帐户相关联。但这是否会阻止 Pod 承担底层节点的 IAM 角色?
答案 0 :(得分:3)
可以阻止它的两个主要因素(如果一起使用)并在 AWS 文档中进行了描述:
最重要的是,正如文档中所指出的,这取决于 CNI,如果您使用 Calico,这是解决 Calico 网络策略问题和缓解措施的一个很好的 write-up。
另一种选择是使用 kube2iam。