Документ политики ECR IAM для доступа к узлу EKS

Как правильно управлять доступом узла EKS к ECR через документы политики IAM, когда я хочу ограничить, кто может запускать задания, используя разные образы?

В упрощенном примере у меня есть пользователи A и B и репозитории ECR C и D. Пользователь A имеет доступ к обоим репозиториям, а пользователь B должен иметь доступ только к C. Я хочу, чтобы оба пользователя могли использовать один и тот же кластер EKS (и тот же набор узлов), и A должен иметь возможность запускать задания на EKS с использованием изображений из C или D, в то время как B должен иметь возможность запускать только задания с использованием изображений из C, но не D.

В моей текущей настройке все узлы EC2 в кластере EKS используют общую роль IAM, к которой привязан AmazonEC2ContainerRegistryReadOnly, так что он может читать из всех репозиториев ECR. Хранилище C предоставляет пользователю доступ для чтения роли пользователя A и узла EC2, а хранилище D - для пользователей A и B, а также доступ для чтения роли узла EC2. Однако это означает, что и пользователь A, и пользователь B могут запускать задания, которые читают из репозитория C или D, а это не то, что мне нужно (пользователь B не должен иметь возможность начинать чтение заданий из репозитория D).

Я понимаю, что одной возможностью было бы разделить набор узлов и назначить им разные профили экземпляров IAM EC2 и настроить документы политики ECR IAM таким образом, чтобы первый набор узлов имел доступ к репозиториям C и D, в то время как только второй набор узлов имеет доступ к C, но есть ли альтернатива этому, позволяющая избежать необходимости устанавливать набор узлов для каждого уникального набора пользовательских разрешений?