Kubernetes workerをEC2インスタンスで実行する場合,何も設定しないとPodはEC2インスタンスのIAMロールを利用します.このままでは,攻撃者が悪意のあるイメージを利用して情報漏洩や破壊を行うリスクがあります.kube2iamを利用すると,Podに適切なIAMロールを割り当てることが可能です. 本稿では,Amazon EKSで以下を利用する方法を説明します. terraform-aws-eks module kube2iam stable/kube2iam Helm chart ここでは例として,S3バケットの読み取りが必要なアプリケーションをPodで実行するケースを考えます. workerインスタンスへのIAMポリシーの割り当て kube2iamはAssume Roleという仕組みを利用してPodにIAMロールを割り当てます.Assume Roleに必要なリソースは別の