kube2iam 根据注释为运行在kubernetes集群中的容器提供IAM凭据。 语境 传统上,在AWS中,服务级别隔离是使用IAM角色完成的。 IAM角色是通过实例配置文件分配的,服务可以通过ec2元数据API的aws-sdk的透明用法来访问它们。 使用aws-sdk时,将对EC2元数据API进行调用,该API提供临时凭证,这些凭证随后用于对AWS服务的调用。 问题陈述 问题在于,在基于多租户容器的世界中,多个容器将共享基础节点。 给定的容器将共享相同的基础节点,通过IAM角色提供对AWS资源的访问将意味着需要创建一个IAM角色,该角色是所有IAM角色的并集。 从安全角度来看,这是不可接