默认情况下,AWS EKS 上的任何 kubernetes pod 都可以承担底层节点的 IAM 角色。这意味着所有容器都会立即访问AmazonEKSWorkerNodePolicy 和 AmazonEC2ContainerRegistryReadOnly 等策略,这是我想避免的。
我不想完全阻止所有容器使用 AWS API iptables,因为只要有正确的凭证,就应该可以调用它。
通过服务账户的 IAM 角色,可以将某个 IAM 角色与 pod 的服务账户关联起来。但这是否会阻止 pod 承担底层节点的 IAM 角色?