То, что вы ищете, это --cloud-provider=aws и его --cloud-config=/etc/kubernetes/cloud.conf друг; когда они передаются в kube-apiserver, kube-controller-manager и kubelet, они настраиваются на возможность аутентификации в ECR, если профиль экземпляра IAM узла позволяет ему
Будьте осторожны: вы увидите много шума о --cloud-provider=external и запуске cloud-provider-aws за пределами kube-controller-manager, но эта история не так счастлива, как они кажутся и мне лично еще предстоит заставить cloud-provider=external работать правильно, тогда как настройка --cloud-provider=aws работает отлично