В настоящее время я изучаю запуск кластера Istio / Kubernetes на AWS с использованием EKS.Я хотел бы иметь возможность назначать разные роли IAM для каждой службы, работающей в кластере, чтобы ограничить права AWS для каждой службы.
В не-Istio Kubernetes кластерах эта возможность предоставляется такими проектами, как kube2iam но это не кажется идеальным в мире Istio, поскольку kube2iam использует правила iptables, а Istio уже использует правила iptables для перенаправления всего исходящего трафика на коляску посланника.
Документация по безопасности Istio гласит, что модель идентификации обслуживает различные базовые реализации, а в AWS эта реализация является IAM:
В модели идентификации Istio Istio использует первоклассный сервисличность, чтобы определить личность услуги.Это обеспечивает большую гибкость и детальность представления пользователя, отдельного сервиса или группы сервисов.На платформах, у которых нет таких идентификаторов, Istio может использовать другие идентификаторы, которые могут группировать экземпляры служб, например имена служб.
Идентификаторы службы Istio на разных платформах:
Kubernetes: учетная запись службы Kubernetes
GKE / GCE: может использовать учетную запись службы GCP
GCP: учетная запись службы GCP
AWS: учетная запись пользователя / роли AWS IAM
Но я не нашел никакой дополнительной документациио том, как назначить роли IAM для Istio ServiceRoles .
Кто-нибудь нашел решение этой проблемы?