EKSの裏側で SELinux はどうなっているのか

先日、弱々エンジニア会 にて k8s のオンラインハンズオンに参加してきました！
そのなかの質疑応答にて、

SELinuxを無効にするのはどうなんでしょう？？？

という会話がありました。
たしかーと思う反面、公式ドキュメントにもそう書いてあるし、仕方ないのかなと思っておりました。
しかし、そこでさらなる疑問が...

EKSとかの場合はどういう仕様になっているんだろう？？？

気になったので、調べてまいりました！！！

■前提

Note: Disabling SELinux by running setenforce 0 is required to allow containers to access the host filesystem, which is required by pod networks for example.
You have to do this until SELinux support is improved in the kubelet.

kubelet およびkubeadmの自前の環境でインストール/設定する際には、上記のようにする必要がある

■調査概要

マネージドになっているAmazon EKSの裏側では SELinux はどうなっているのか

■調査結果

EKSのコントロールプレーン側はマネージドサービスとしてAWS側によって作成され、管理されている
またkubeadmはEKSでは使用する事ができず、どういった仕組みなのかもわからない...
※私たちが触れるのはワーカーノード側の管理

そして、ワーカーノードのデフォルト設定は RunAsAny になっている

ということで、答えは「わからない」という残念な結果でした...
AWS、というか、パブリッククラウドはマネージドで使いやすいサービスが多いですが、今回のように中身を調べたいってときにはどうにもならないですねー
ユーザが気にする必要はない、ってことが答えなのかもしれません_(:3」∠)_

■参考

コントロールプレーン側のセキュリティについては、以下のドキュメントを参照！

Amazon EKS でのセキュリティ