Как защитить конечную точку самоанализа AWS EKS L-IPAMD

Я нахожусь в процессе поддержки моего первого кластера EKS, когда один из моих коллег выразил беспокойство, что он может свернуться http://[internal NODE IP]:61678]/v1/enis а также http://[internal NODE IP]:61678]/v1/pods и получать конфиденциальную информацию о кластере.

Его беспокоило то, что для получения всей информации о пуле ENI и IP-адресов всех модулей в кластере не требуется SSL или токен.

Когда я начал понимать, для чего используется этот API и можем ли мы разрешить какую-либо форму безопасности, чтобы заблокировать его, меня привели к конечной точке самоанализа, используемой L-IPAMD от amazon-vpc-cni-k8s это распределяет IP-адреса для планирования под.

https://github.com/aws/amazon-vpc-cni-k8s/blob/master/ipamd/introspect.go

Запрашивать этот API можно как из модуля, так и с любого другого компьютера в VPC.

Что можно сделать, чтобы обезопасить его? Есть ли опция для принудительного применения SSL или токена, который мне не хватает?