Kubernetes(EKS)で各PodごとにIAMロールを管理するには、jtblin/kube2iamを使うのが一般的である。今回はそのkube2iamがどのような仕組みで動いているかを解説する。 TL;DR EC2のメタデータ取得(169.254.169.254)をkube2iamのPodに流れるようにする(iptablesの編集) kube2iamがリクエスト元Podに基づいてIAMロールを決定し、クレデンシャルを返す 後発のkiamよりも手軽に導入できる(ただし高負荷時に異なるロールが割り当てられる不具合も) kube2iamの全体像 EC2メタデータのリクエストを横取り EC2のIAMロールから別のIAMロールのクレデンシャルを生成 生成したクレデンシャルを返す kube2iamのデプロイ kube2iamはDaemonset(各EC2インスタンス上で1つ以上動くPod)としてデ